เตือนภัย! เมนบอร์ด Gigabyte 240 รุ่นมีช่องโหว่ความปลอดภัย เปิดช่องให้แฮกเกอร์ฝังมัลแวร์ใน BIOS ล้างเครื่องยังไงก็ไม่หาย
บริษัทวิจัยด้านความปลอดภัย Binarly ออกมาเปิดเผยช่องโหว่ร้ายแรงในเมนบอร์ดของ Gigabyte ซึ่งทำให้แฮกเกอร์สามารถฝังมัลแวร์เข้าไปในระดับเฟิร์มแวร์ UEFI ได้โดยตรง แม้จะล้างเครื่องหรือติดตั้งระบบปฏิบัติการใหม่ ก็ไม่สามารถกำจัดมัลแวร์ดังกล่าวได้ เพราะมันฝังอยู่ใน BIOS ของเมนบอร์ด ไม่ใช่ในฮาร์ดดิสก์หรือระบบไฟล์แบบเดิม
ช่องโหว่นี้ถูกค้นพบใน UEFI firmware ของเมนบอร์ด Gigabyte มากกว่า 240 รุ่น รวมถึงรุ่นย่อยและเวอร์ชันเฉพาะภูมิภาค โดยช่องโหว่ทั้งหมดอยู่ใน System Management Mode (SMM) ซึ่งเป็นโหมดพิเศษของซีพียูที่ทำงานลึกกว่าระบบปฏิบัติการ
โดย SMM ได้รับการออกแบบมาเพื่อให้ BIOS ควบคุมการจัดการพลังงานหรือการทำงานระดับฮาร์ดแวร์ เช่น ระบบระบายความร้อนและการใช้พลังงาน อย่างไรก็ตาม Binarly พบว่าในเฟิร์มแวร์ของ Gigabyte มีข้อผิดพลาดในการตรวจสอบคำสั่งที่ถูกส่งจาก OS ไปยังเฟิร์มแวร์ ทำให้ผู้โจมตีสามารถส่งคำสั่งพิเศษเข้ามาได้โดยไม่ต้องผ่านกระบวนการตรวจสอบความปลอดภัยอย่างถูกต้อง
Binarly ระบุว่า ช่องโหว่ที่พบมีทั้งหมด 4 รายการ โดยทั้งหมดมีคะแนนความรุนแรงสูงถึง 8.2 ประกอบด้วย
- CVE-2025-7029 ซึ่งเกิดจากบั๊กในฟังก์ชัน OverClockSmiHandler ที่อาจนำไปสู่การยกระดับสิทธิ์ไปถึงระดับ SMM,
- CVE-2025-7028 ซึ่งทำให้สามารถเข้าถึงและแก้ไขหน่วยความจำ SMRAM ได้โดยตรง
- CVE-2025-7027 ที่เปิดให้เขียนข้อมูลใด ๆ ลงใน SMRAM ซึ่งอาจนำไปสู่การควบคุมเฟิร์มแวร์ทั้งหมด
- CVE-2025-7026 ซึ่งถือว่ารุนแรงที่สุด เพราะเปิดโอกาสให้ผู้ไม่หวังดีสามารถเขียนข้อมูลเข้าสู่หน่วยความจำ SMM ได้อย่างอิสระ และฝังมัลแวร์ถาวรลงใน BIOS ได้โดยไม่ต้องพึ่งระบบปฏิบัติการ
ที่น่ากังวลยิ่งกว่านั้นคือ ช่องโหว่เหล่านี้มีต้นทางมาจากโค้ดอ้างอิงของบริษัท American Megatrends Inc. (AMI) ซึ่งเป็นผู้จัดทำเฟิร์มแวร์ต้นแบบให้กับผู้ผลิตเมนบอร์ดทั่วโลก แม้ AMI จะได้แก้ไขและแจ้งข้อมูลช่องโหว่เหล่านี้ให้ลูกค้าที่จ่ายเงินภายใต้ข้อตกลงไม่เปิดเผยข้อมูล (NDA) ไปตั้งแต่ต้นปี แต่ในทางปฏิบัติ กลับพบว่าเฟิร์มแวร์ที่ถูกใช้งานจริงโดย OEM อย่างเช่น Gigabyte ยังคงไม่ได้รวมแพตช์เหล่านั้นเข้ามา จึงทำให้ผลิตภัณฑ์ปลายทางยังคงเสี่ยงอยู่หลายเดือนหรือเป็นปี
การโจมตีที่อาศัยช่องโหว่ในระดับนี้สามารถหลบเลี่ยงระบบรักษาความปลอดภัยเกือบทั้งหมด ไม่ว่าจะเป็น antivirus, endpoint detection หรือแม้แต่ Secure Boot เพราะ malware จะฝังตัวอยู่ใน SMM และ BIOS ก่อนที่ระบบใด ๆ จะเริ่มทำงาน เมื่อเปิดเครื่อง BIOS จะโหลดโค้ดอันตรายก่อน OS ทำให้ malware สามารถควบคุมเครื่องได้ทันทีทุกครั้งที่เปิด แม้จะเปลี่ยนฮาร์ดดิสก์หรือล้างระบบใหม่ก็ไม่สามารถลบออกได้ ต้องอัปเดตหรือแฟลช BIOS ด้วยเวอร์ชันที่ปลอดภัยเท่านั้น
ทาง Binarly ได้แจ้งข้อมูลช่องโหว่ไปยัง CERT/CC ของมหาวิทยาลัยคาร์เนกีเมลลอนตั้งแต่วันที่ 15 เมษายน 2025 ขณะที่ Gigabyte เพิ่งยืนยันการมีอยู่ของช่องโหว่เมื่อวันที่ 12 มิถุนายน และเริ่มทยอยปล่อย BIOS เวอร์ชันใหม่ออกมา อย่างไรก็ตาม จนถึงขณะนี้ Gigabyte ยังไม่ได้ออกเอกสาร Security Bulletin อย่างเป็นทางการเกี่ยวกับประเด็นนี้ และยังไม่ชี้แจงต่อสาธารณะว่าอุปกรณ์รุ่นใดได้รับการแก้ไขแล้วบ้าง
ด้าน Alex Matrosov ผู้ก่อตั้งและซีอีโอของ Binarly ระบุว่า Gigabyte “น่าจะยังไม่ได้ปล่อยแพตช์ใด ๆ เลย” และอุปกรณ์บางส่วนที่ได้รับผลกระทบก็เข้าสู่สถานะ End-of-Life แล้ว หมายความว่า “จะไม่มีการอัปเดตความปลอดภัยอีกต่อไป” ซึ่งถือเป็นความเสี่ยงระยะยาวที่ผู้ใช้งานต้องแบกรับไว้และอาจต้องถึงกับเปลี่ยนเมนบอร์ดใหม่เพื่อความปลอดภัย
รีบตรวจสอบและอัปเดตไบออสโดยด่วน
Gigabyte ได้รับแจ้งจากทีมวิจัยตั้งแต่เดือนเมษายน 2025 และยืนยันช่องโหว่ในเดือนมิถุนายน โดยได้เริ่มทยอยปล่อย BIOS เวอร์ชันอัปเดตออกมาบางส่วนแล้ว อย่างไรก็ตาม ยังไม่มีประกาศหรือ advisory อย่างเป็นทางการจากบริษัท ทำให้ผู้ใช้จำนวนมากอาจยังไม่รู้ตัวว่ากำลังตกอยู่ในความเสี่ยง
ผู้ใช้งานที่ใช้เมนบอร์ด Gigabyte ควรรีบตรวจสอบว่าเมนบอร์ดของตนอยู่ในรายชื่อที่ได้รับผลกระทบหรือไม่ โดยเข้าไปที่เว็บไซต์ของ Gigabyte และตรวจสอบรุ่น พร้อมทั้งดาวน์โหลด BIOS เวอร์ชันล่าสุดมาติดตั้งทันที หากรุ่นที่ใช้อยู่ไม่มี BIOS เวอร์ชันใหม่ออกมา แนะนำให้ประเมินความเสี่ยงอย่างจริงจัง โดยเฉพาะในกรณีที่เครื่องเคยถูกบุคคลอื่นเข้าถึงมาก่อน หรือใช้ในระบบองค์กรที่ข้อมูลมีความอ่อนไหวสูง
สำหรับผู้เชี่ยวชาญหรือแอดมินในองค์กร Binarly ได้เปิดให้ใช้เครื่องมือ Risk Hunt Scanner ฟรี เพื่อสแกนเฟิร์มแวร์ของเครื่องว่ามีช่องโหว่เหล่านี้หรือไม่ ซึ่งอาจช่วยป้องกันการแพร่ระบาดของมัลแวร์ระดับเฟิร์มแวร์ได้อย่างทันท่วงที