เตือนภัย! เมนบอร์ด Gigabyte กว่า 240 รุ่น เสี่ยงติดมัลแวร์ UEFI แม้มี Secure Boot
ข่าวความปลอดภัยทางไซเบอร์ ด่วน! ผู้ใช้งาน
คอมพิวเตอร์ ที่ใช้
เมนบอร์ด Gigabyte อาจกำลังเผชิญกับความเสี่ยงร้ายแรง จากการค้นพบช่องโหว่ในเฟิร์มแวร์
UEFI ที่ทำให้
มัลแวร์ ประเภท
bootkit สามารถฝังตัวได้อย่างแนบเนียน หลบเลี่ยงระบบป้องกันอย่าง
Secure Boot และยังคงอยู่แม้จะติดตั้งระบบปฏิบัติการใหม่
ช่องโหว่เหล่านี้สามารถทำให้ผู้โจมตีที่มีสิทธิ์ผู้ดูแลระบบ (Local หรือ Remote Admin) สามารถรันโค้ดอันตรายในโหมดการจัดการระบบ (
SMM - System Management Mode) ซึ่งเป็นสภาพแวดล้อมที่แยกจากระบบปฏิบัติการ (OS) และมีสิทธิ์ระดับสูงกว่าบนเครื่องคอมพิวเตอร์
กลไกที่รันโค้ดในระดับที่ต่ำกว่าระบบปฏิบัติการจะสามารถเข้าถึงฮาร์ดแวร์ในระดับต่ำ และจะเริ่มทำงานตั้งแต่ตอนบูตเครื่อง นี่จึงเป็นเหตุผลที่
มัลแวร์ ในสภาพแวดล้อมเหล่านี้สามารถหลบเลี่ยงการป้องกันความปลอดภัยแบบดั้งเดิมบนระบบได้
UEFI หรือ
Unified Extensible Firmware Interface เป็นเฟิร์มแวร์ที่ออกแบบมาให้มีความปลอดภัยมากขึ้นด้วยฟีเจอร์
Secure Boot ซึ่งรับประกันว่าอุปกรณ์จะใช้โค้ดที่ปลอดภัยและเชื่อถือได้ในการบูตเครื่องผ่านการตรวจสอบด้วยการเข้ารหัส ด้วยเหตุผลนี้
มัลแวร์ ระดับ
UEFI อย่าง
bootkits (เช่น BlackLotus, CosmicStrand, MosaicAggressor, MoonBounce, LoJax) จึงสามารถติดตั้งโค้ดอันตรายได้ทุกครั้งที่บูตเครื่อง
เมนบอร์ด Gigabyte กว่าร้อยรุ่นได้รับผลกระทบ
ช่องโหว่ทั้ง 4 จุดนี้ถูกค้นพบในการใช้งานเฟิร์มแวร์ของ
Gigabyte โดยนักวิจัยจากบริษัทด้าน
ความปลอดภัยเฟิร์มแวร์ นามว่า
Binarly ซึ่งได้แบ่งปันข้อมูลที่พบกับ
CERT Coordination Center (CERT/CC) ของ
Carnegie Mellon University
ผู้ผลิตเฟิร์มแวร์ดั้งเดิมคือ
American Megatrends Inc. (AMI) ซึ่งได้แก้ไขปัญหาเหล่านี้แล้วหลังจากมีการเปิดเผยข้อมูลแบบส่วนตัว แต่เฟิร์มแวร์ของ OEM บางราย (เช่นของ
Gigabyte) ไม่ได้นำการแก้ไขเหล่านั้นไปใช้งานในขณะนั้น
จากการตรวจสอบในเฟิร์มแวร์ของ
Gigabyte,
Binarly พบช่องโหว่ 4 จุด ซึ่งทั้งหมดมีระดับความรุนแรงสูงที่คะแนน
8.2:
- CVE-2025-7029: ข้อบกพร่องในตัวจัดการ SMI (OverClockSmiHandler) ที่อาจนำไปสู่การยกระดับสิทธิ์ SMM (SMM privilege escalation)
- CVE-2025-7028: ข้อบกพร่องในตัวจัดการ SMI (SmiFlash) ที่ให้สิทธิ์ในการอ่าน/เขียนเข้าถึง System Management RAM (SMRAM) ซึ่งอาจนำไปสู่การติดตั้ง มัลแวร์
- CVE-2025-7027: อาจนำไปสู่การยกระดับสิทธิ์ SMM และการแก้ไขเฟิร์มแวร์โดยการเขียนเนื้อหาใดๆ ลงใน SMRAM
- CVE-2025-7026: อนุญาตให้เขียนข้อมูลใดๆ ลงใน SMRAM และอาจนำไปสู่การยกระดับสิทธิ์ไปยัง SMM และการบุกรุกเฟิร์มแวร์อย่างถาวร
จากการนับของ
Binarly มี
เมนบอร์ด ที่ได้รับผลกระทบมากกว่า
240 รุ่น ซึ่งรวมถึงการแก้ไข, รูปแบบต่างๆ, และรุ่นเฉพาะภูมิภาค โดยเฟิร์มแวร์ที่อัปเดตระหว่างปลายปี
2023 ถึงกลางเดือนสิงหาคม
2024 ได้รับผลกระทบด้วย ตัวแทนบริษัท
Binarly เปิดเผยกับ
BleepingComputer ว่า "มีมากกว่าร้อยไลน์ผลิตภัณฑ์ที่ได้รับผลกระทบ"
นอกจากนี้ ผลิตภัณฑ์จากผู้จำหน่ายอุปกรณ์สำหรับองค์กรอื่นๆ ก็ได้รับผลกระทบจากช่องโหว่ทั้งสี่นี้เช่นกัน แต่ยังไม่มีการเปิดเผยชื่อจนกว่าจะมีการแก้ไขปัญหา นักวิจัยของ
Binarly ได้แจ้งเรื่องนี้ไปยัง
Carnegie Mellon CERT/CC เมื่อวันที่
15 เมษายน และ
Gigabyte ได้ยืนยันช่องโหว่เมื่อวันที่
12 มิถุนายน ตามมาด้วยการออกอัปเดตเฟิร์มแวร์ ตามข้อมูลจาก
CERT/CC
คำเตือนจากผู้เชี่ยวชาญ: ความเสี่ยงและแนวทางแก้ไข
อย่างไรก็ตาม
Gigabyte ไม่ได้เผยแพร่ประกาศด้านความปลอดภัยเกี่ยวกับปัญหาที่
Binarly รายงาน
BleepingComputer ได้ส่งอีเมลสอบถามไปยังผู้จำหน่ายฮาร์ดแวร์ แต่ยังไม่ได้รับการตอบกลับ
ในขณะเดียวกัน
Alex Matrosov ผู้ก่อตั้งและ
CEO ของ
Binarly เปิดเผยกับ
BleepingComputer ว่า
Gigabyte น่าจะยังไม่ได้ออกแพตช์แก้ไข และเนื่องจากผลิตภัณฑ์จำนวนมากได้หมดอายุการใช้งาน (
End-of-Life - EOL) ไปแล้ว ผู้ใช้งานจึงไม่ควรคาดหวังว่าจะได้รับการอัปเดตด้านความปลอดภัยใดๆ
“เนื่องจากช่องโหว่ทั้งสี่นี้มีต้นกำเนิดมาจากโค้ดอ้างอิงของ
AMI,
AMI จึงเปิดเผยช่องโหว่เหล่านี้ไปนานแล้ว โดยเป็นการเปิดเผยแบบเงียบๆ ให้กับลูกค้าที่ชำระเงินภายใต้ NDA เท่านั้น และสิ่งนี้ทำให้เกิดผลกระทบอย่างมีนัยสำคัญเป็นเวลาหลายปีสำหรับผู้ขายปลายน้ำที่ยังคงมีช่องโหว่และไม่ได้แก้ไข” -
Alex Matrosov
“ดูเหมือนว่า
Gigabyte ยังไม่ได้ออกแพตช์แก้ไขใดๆ และอุปกรณ์ที่ได้รับผลกระทบจำนวนมากได้หมดอายุการใช้งานแล้ว ซึ่งหมายความว่าพวกมันมีแนวโน้มที่จะยังคงมีช่องโหว่ต่อไปอย่างไม่มีกำหนด”
ใครคือผู้ที่ตกอยู่ในความเสี่ยง และจะตรวจสอบได้อย่างไร?
แม้ว่าความเสี่ยงสำหรับผู้ใช้งานทั่วไปจะค่อนข้างต่ำ แต่ผู้ที่อยู่ในสภาพแวดล้อมที่มีความสำคัญสูง เช่น องค์กรธุรกิจ หรือหน่วยงานที่จัดการข้อมูลละเอียดอ่อน ควรประเมินความเสี่ยงเฉพาะหน้าด้วยเครื่องมือ
Binarly’s Risk Hunt scanner tool ซึ่งรวมถึงการตรวจจับช่องโหว่ทั้งสี่นี้ฟรี
คอมพิวเตอร์ จากผู้ผลิตอุปกรณ์รายอื่น (
OEM) ที่ใช้
เมนบอร์ด Gigabyte ก็อาจมีช่องโหว่ได้เช่นกัน ดังนั้น ผู้ใช้งานจึงควรติดตามการอัปเดตเฟิร์มแวร์และติดตั้งทันทีเมื่อมีการเผยแพร่
ภัยของมัลแวร์ระดับ UEFI/Bootkit
- หลบเลี่ยงการตรวจจับ: ทำงานในระดับที่ต่ำกว่าระบบปฏิบัติการ ทำให้โปรแกรมป้องกัน มัลแวร์ ทั่วไปตรวจจับได้ยาก
- คงอยู่ถาวร: สามารถอยู่รอดได้แม้จะติดตั้งระบบปฏิบัติการใหม่
- สิทธิ์สูงสุด: ทำงานในโหมด SMM ทำให้มีสิทธิ์ควบคุม คอมพิวเตอร์ ได้อย่างสมบูรณ์
- เป้าหมายหลัก: ข้อมูลสำคัญ, ระบบองค์กร, ข้อมูลส่วนบุคคล
คำถามที่พบบ่อย (FAQs) เกี่ยวกับช่องโหว่เมนบอร์ด Gigabyte
- Q: เมนบอร์ด Gigabyte รุ่นไหนบ้างที่ได้รับผลกระทบ?
- A: มีมากกว่า 240 รุ่น ที่ได้รับผลกระทบ รวมถึงการแก้ไขและรุ่นย่อยต่างๆ แต่ Gigabyte ยังไม่ได้เผยแพร่รายการที่แน่นอน
- Q: Secure Boot ป้องกันมัลแวร์ UEFI ไม่ได้จริงหรือ?
- A: ในกรณีนี้ ช่องโหว่ในเฟิร์มแวร์ของ Gigabyte ทำให้ มัลแวร์ สามารถหลบเลี่ยงการตรวจสอบของ Secure Boot ได้
- Q: หากเมนบอร์ดของฉันเป็นรุ่นเก่าและหมดอายุการใช้งานแล้วจะทำอย่างไร?
- A: Binarly ระบุว่ารุ่น End-of-Life (EOL) อาจไม่ได้รับการแก้ไข ซึ่งหมายความว่าอุปกรณ์นั้นอาจยังคงมีช่องโหว่ต่อไป
- Q: ควรตรวจสอบเมนบอร์ดของฉันเองหรือไม่?
- A: หากคุณกังวล สามารถใช้เครื่องมือ Binarly’s Risk Hunt scanner tool เพื่อตรวจสอบช่องโหว่ได้ฟรี
สรุป: ตื่นตัวกับภัย UEFI และ Firmware Security
การค้นพบช่องโหว่ใน
เมนบอร์ด Gigabyte ครั้งนี้เป็นเครื่องเตือนใจที่สำคัญถึงความจำเป็นในการให้ความสำคัญกับ
Firmware Security และความเสี่ยงที่มาพร้อมกับ
มัลแวร์ ระดับ
UEFI แม้ว่าผู้ใช้งานทั่วไปอาจมีความเสี่ยงต่ำ แต่สำหรับองค์กรและผู้ใช้งานที่ต้องการความปลอดภัยสูงสุด การติดตาม
ข่าวความปลอดภัยไซเบอร์ และการอัปเดตเฟิร์มแวร์อย่างสม่ำเสมอคือสิ่งที่ไม่ควรมองข้าม เพราะในโลกที่ภัยคุกคาม
ไซเบอร์ พัฒนาไปอย่างไม่หยุดยั้ง การป้องกันที่ดีที่สุดคือการรับรู้และเตรียมพร้อมอยู่เสมอ
องค์กรของคุณพร้อมรับมือกับภัยคุกคาม UEFI แล้วหรือยัง?
- ติดต่อผู้เชี่ยวชาญด้านความปลอดภัยเฟิร์มแวร์ ของเราวันนี้ เพื่อประเมินช่องโหว่และเสริมสร้างการป้องกันของคุณ!
คุณคิดว่าผู้ผลิตฮาร์ดแวร์ควรเปิดเผยช่องโหว่ที่พบทั้งหมดหรือไม่?
- แสดงความคิดเห็น และแบ่งปันมุมมองของคุณเกี่ยวกับความโปร่งใสในอุตสาหกรรม ความปลอดภัยไซเบอร์!
อย่ารอให้สายเกินไป! แชร์ข่าวสำคัญนี้ให้เพื่อนร่วมงานและผู้ใช้งานคอมพิวเตอร์!
- แชร์บทความนี้ บนโซเชียลมีเดีย เพื่อเพิ่มความตระหนักรู้เกี่ยวกับภัยคุกคาม UEFI และส่งเสริม ความปลอดภัยคอมพิวเตอร์ ให้กับทุกคน!
