Уязвимость UEFI позволяет проводить атаки на матплаты Gigabyte, MSI, Asus и ASRock во время предварительной загрузки

В некоторых материнских платах Asus, Gigabyte, MSI и ASRock реализация прошивки UEFI уязвима для DMA-атак, которые позволяют обходить защиту оперативной памяти на этапе предварительной загрузки системы. Проблема безопасности получила четыре идентификатора из-за различий в реализации от четырёх поставщиков: CVE-2025-11901, CVE-2025‑14302, CVE-2025-14303 и CVE-2025-14304.

DMA — это аппаратная функция, позволяющая видеокарте, Thunderbolt- и PCIe-устройствам напрямую читать и записывать данные в ОЗУ без участия центрального процессора.

IOMMU — это аппаратный межсетевой экран памяти. Он находится между ОЗУ и другим оборудованием, контролируя области памяти, которые доступны для каждого устройства.

На стадии предварительной загрузки, когда инициализируется UEFI, IOMMU должен активироваться, прежде чем станет возможно проведение DMA-атак. В противном случае отсутствует защита от прерывания чтения или записи в области памяти путём физического доступа.

Уязвимость обнаружили исследователи Riot Games Ник Петерсен и Мохамед Аль-Шарифи. В своей работе они сотрудничали с CERT для координации ответных мер и связи с пострадавшими поставщиками. 

Прошивка UEFI показывает, что защита DMA включена, даже если IOMMU не был инициирован корректно — это делает систему уязвимой для атак.

По словам исследователей, когда компьютерная система включена, она находится в своём наиболее привилегированном состоянии, поскольку имеет полный доступ ко всей инфраструктуре и всему подключённому оборудованию. Защитные функции становятся доступны только после загрузки исходной прошивки, которая обеспечивает безопасную инициализацию оборудования и программного обеспечения. Операционная система загружается одной из последних в этой цепи.

На уязвимых системах не запускаются некоторые игры Riot Games, включая Valorant и League of Legends. Это связано с системой Vanguard, которая работает на уровне ядра и защищает от читов. Riot Games уже обновила Vanguard.

Для проведения DMA-атаки необходимо подключить вредоносное PCIe-устройство до запуска ОС. В это время устройство сможет считывать или изменять данные из ОЗУ до того, как будут установлены средства защиты на уровне ОС. Поскольку эксплуатация уязвимости происходит до загрузки ОС, не будет никаких предупреждений от средств безопасности, запросов на предоставление разрешений и оповещений для пользователя.

Уязвимость затрагивает некоторые модели материнских плат ASRock, Asus, Gigabyte и MSI, но также проблема может касаться и продукции других производителей, предупредили в CERT. Пользователям следует проверить наличие доступных обновлений прошивки и установить их после резервного копирования важных данных.