Исследователи из Riot Games выявили критическую уязвимость в реализации UEFI на ряде материнских плат крупных производителей — Asus, Gigabyte, MSI и ASRock. Ошибка даёт злоумышленнику возможность выполнить DMA-атаку (прямой доступ к памяти) и обойти защитные механизмы ещё на этапе ранней загрузки системы. Из-за отличий в прошивках разных вендоров уязвимость получила несколько идентификаторов: CVE-2025-11901, CVE-2025-14302, CVE-2025-14303 и CVE-2025-14304.
Что такое DMA и почему ключевую роль играет IOMMU
Механизм Direct Memory Access (DMA) — это аппаратная функция, позволяющая устройствам (видеокартам, контроллерам Thunderbolt, PCIe-картам и другим периферийным модулям) напрямую считывать и записывать данные в оперативную память, обходя центральный процессор. Такой подход значительно ускоряет обмен данными, но при ошибочной конфигурации превращается в мощный инструмент атаки.
Контролировать доступ устройств к памяти должен компонент под названием IOMMU (Input-Output Memory Management Unit). Фактически это «брандмауэр» для ОЗУ: он определяет, какие именно области памяти доступны конкретному устройству и блокирует любые несанкционированные обращения. При корректной настройке IOMMU серьёзно ограничивает возможности DMA-атак.
Суть уязвимости: защита заявлена, но не включена
По данным Riot Games и CERT/CC, проблема кроется в том, как UEFI инициализирует IOMMU на ранних стадиях загрузки. На этом этапе прошивка должна включить и настроить IOMMU до того, как устройства получат возможность выполнять DMA-операции. Именно в этот короткий, но критический промежуток и возникает окно для атаки.
Исследователи обнаружили, что в ряде прошивок UEFI сообщает, будто защита DMA активна, однако на практике IOMMU не инициализируется корректно на этапе передачи управления дальше по цепочке загрузки. В результате любое физически подключённое DMA-совместимое PCIe-устройство получает возможность читать и модифицировать содержимое системной памяти до старта защитных механизмов операционной системы.
Опасность обхода защиты на этапе загрузки
Атаки, выполняемые до загрузки ОС, традиционно считаются одними из самых опасных. Если вредоносный код попадает в память настолько рано, он может:
- подменять компоненты загрузочной цепочки, UEFI-драйверы и ранние модули ОС;
- скрывать своё присутствие от антивирусов и средств мониторинга;
- перехватывать управление до старта любых средств защиты конечной точки.
Подобные техники активно используются в буткитах и сложных целевых атаках, а также хорошо сочетаются с DMA-эксплойтами, известными по исследованиям Thunderbolt-атаки Thunderclap и аналогичных работ.
Реакция Riot Games: Vanguard блокирует запуск Valorant
Издание BleepingComputer отмечает, что именно игровая компания Riot Games первой столкнулась с практическими последствиями уязвимости. Встроенная в игры студии античит-система Vanguard, работающая на уровне ядра, начала отказываться запускаться на уязвимых системах.
Логика разработчиков проста: если читерское ПО загружается раньше Vanguard, его проще скрыть на уровне прошивки или ранних драйверов, где античит уже не имеет полного контроля. В Riot Games прямо указывают, что подобный сценарий даёт читерам «больше шансов спрятаться» и продолжать нарушать честность игры дольше, чем готовы терпеть разработчики.
В результате Riot обновила Vanguard: теперь, если система уязвима к DMA-атаке на этапе загрузки, Valorant просто не стартует. Пользователь видит всплывающее окно с пояснением и рекомендациями по обновлению прошивки материнской платы и настройкам защиты.
Кого затрагивает уязвимость и какие условия эксплуатации
Физический доступ как ключевое ограничение
По информации CERT/CC, проблема подтверждена для ряда моделей материнских плат ASRock, Asus, Gigabyte и MSI, однако не исключено, что аналогичные ошибки присутствуют и у других производителей. При этом для эксплуатации багов этого класса необходим физический доступ к компьютеру: злоумышленник должен подключить собственное вредоносное PCIe-устройство, способное инициировать DMA-атаку.
Такой вектор соответствует сценарию «злоумышленник с доступом к оборудованию» — например, на публичных рабочих местах, в коворкингах, гостиничных бизнес-центрах, а также при атаках инсайдеров или при кратковременном захвате устройства (evil maid attack).
Риски за пределами сферы гейминга
Хотя уязвимость была описана через призму борьбы с читерами, её эффект выходит далеко за рамки игровой индустрии. Любой вредоносный код, загруженный в память до старта ОС, может использовать данную брешь для:
- кражи учётных данных и ключей шифрования;
- установки стойких буткитов;
- незаметной модификации системных компонентов и драйверов безопасности.
Это делает проблему актуальной не только для геймеров, но и для корпоративных сред, где защищённость цепочки загрузки — критичный элемент модели угроз.
Рекомендации пользователям и администраторам
Эксперты рекомендуют владельцам систем на базе плат Asus, Gigabyte, MSI и ASRock оперативно проверить наличие обновлений UEFI/BIOS на сайте производителя. Перед прошивкой следует выполнить резервное копирование важных данных и тщательно ознакомиться с инструкцией, чтобы минимизировать риск повреждения системы.
В корпоративной среде целесообразно:
- внедрить централизованный учёт версий прошивок и их регулярное обновление;
- ограничить физический доступ к рабочим станциям и серверам, особенно к свободным PCIe-слотам и Thunderbolt-портам;
- использовать функции Secure Boot, TPM и дополнительные средства контроля целостности загрузочной цепочки.
Новая уязвимость UEFI ещё раз подчёркивает: защита на уровне приложений и даже ОС не гарантирует безопасность, если базовые механизмы платформы настроены неверно. Регулярные обновления прошивок, контроль физического доступа и внимательное отношение к предупреждениям таких систем, как Vanguard, помогают снизить риск не только читерских атак в играх, но и более серьёзных компрометаций на уровне всей инфраструктуры. Пользователям и ИТ-специалистам стоит регулярно отслеживать бюллетени безопасности производителей оборудования и профильных центров, таких как CERT/CC, и незамедлительно реагировать на сообщения о критических уязвимостях.
