На низці популярних материнських плат виявлено критичну уразливість UEFI, яка відкриває шлях до DMA-атак ще до старту операційної системи. За даними дослідників Riot Games та CERT/CC, помилка реалізації механізму IOMMU торкається плат виробників Asus, Gigabyte, MSI та ASRock і вже отримала ідентифікатори CVE-2025-11901, CVE-2025-14302, CVE-2025-14303 та CVE-2025-14304.
Як реалізація DMA та IOMMU впливає на безпеку платформи
Що таке Direct Memory Access (DMA)
Direct Memory Access (DMA) — це апаратний механізм, який дозволяє пристроям (відеокартам, контролерам Thunderbolt, PCIe-картам та іншим периферійним модулям) напряму читати й записувати дані в оперативну пам’ять, оминаючи центральний процесор. Це суттєво підвищує продуктивність системи, але у випадку неправильної конфігурації перетворюється на потужний інструмент для обходу традиційних механізмів захисту ОС.
Роль IOMMU як «міжмережевого екрана» для ОЗП
Контролювати доступ пристроїв до пам’яті має компонент IOMMU (Input-Output Memory Management Unit). Фактично це апаратний «брандмауер» для оперативної пам’яті, який визначає, які області ОЗП дозволено бачити конкретному пристрою, і блокує будь-які несанкціоновані звернення. За коректної ініціалізації IOMMU суттєво знижує ризики DMA-атак, включно з відомими сценаріями на кшталт Thunderclap (дослідження Thunderbolt‑атак, опубліковане Кембриджським університетом у 2019 році).
Суть уразливості UEFI: IOMMU задекларовано, але фактично не ввімкнено
Вікно атаки на ранньому етапі завантаження
Ключова проблема полягає в тому, як прошивка UEFI ініціалізує IOMMU на ранніх стадіях завантаження. На цьому етапі платформа має активувати й налаштувати IOMMU до того, як будь-який пристрій отримає можливість виконувати DMA-операції. Саме тут утворюється вікно для атаки.
Дослідники виявили, що деякі реалізації UEFI заявляють про активний захист від DMA, однак на практиці IOMMU або не вмикається, або некоректно налаштовується в момент передавання керування далі по ланцюгу завантаження. У результаті будь-який фізично підключений до PCIe DMA-сумісний пристрій може читати та змінювати вміст оперативної пам’яті ще до запуску драйверів ОС і засобів безпеки.
Атаки на цьому рівні дозволяють завантажити шкідливий код у пам’ять раніше за операційну систему, підмінити компоненти завантажувального ланцюга, впровадити буткіт та ефективно приховати свою присутність від антивірусів і EDR‑рішень.
Реакція Riot Games: Vanguard блокує Valorant на вразливих системах
Практичні наслідки уразливості першою публічно продемонструвала саме Riot Games. Античит-система Vanguard, яка працює на рівні ядра, почала блокувати запуск гри Valorant на системах з некоректною підтримкою DMA-захисту. Логіка проста: якщо шахрайське ПЗ може завантажитися раніше за Vanguard, воно здатне закріпитися в прошивці або ранніх драйверах так, що античит більше не контролює середовище виконання.
Оновлена версія Vanguard перевіряє конфігурацію платформи й, у разі виявлення уразливості UEFI/IOMMU, не дозволяє Valorant стартувати. Користувач отримує повідомлення з рекомендацією оновити UEFI/BIOS материнської плати та увімкнути відповідні параметри захисту від DMA-атак.
Кому загрожує DMA-уразливість UEFI та які сценарії атак можливі
Фізичний доступ і атаки типу “evil maid”
Згідно з інформацією CERT/CC, підтверджено уразливість низки моделей плат ASRock, Asus, Gigabyte та MSI, однак подібні помилки можуть існувати й в іншому обладнанні. Важливе обмеження: для експлуатації цієї категорії багів необхідний фізичний доступ до пристрою — зловмисник має підключити власний PCIe‑пристрій, здатний виконувати DMA-операції.
Це робить уразливість особливо актуальною для сценаріїв на кшталт evil maid attack, для публічних робочих місць, коворкінгів, готельних бізнес-центрів, а також для внутрішніх загроз, коли співробітник або підрядник має короткочасний доступ до обладнання.
Наслідки для бізнесу та за межами геймінгу
Хоча проблема стала публічною завдяки боротьбі з ігровими читами, її вплив значно ширший за геймінг. Отримавши контроль над пам’яттю до запуску ОС, зловмисник може:
- викрасти облікові дані, криптографічні ключі, токени доступу;
- встановити стійкі буткіти та rootkit‑рішення;
- непомітно модифікувати драйвери безпеки й компоненти моніторингу;
- обійти механізми цілісності завантаження, зокрема частину перевірок Secure Boot.
Для корпоративних середовищ, де ланцюг завантаження є критичним елементом моделі загроз, така уразливість створює ризик глибокої компрометації всієї інфраструктури, а не лише окремих робочих станцій.
Рекомендації з кібербезпеки для користувачів і компаній
Власникам систем на базі материнських плат Asus, Gigabyte, MSI та ASRock варто якнайшвидше перевірити наявність оновлень UEFI/BIOS на сайтах виробників. Перед прошивкою слід створити резервні копії важливих даних і уважно дотримуватися офіційних інструкцій, щоб уникнути пошкодження системи.
В організаціях доцільно:
- запровадити централізований облік версій прошивок і політику їх регулярного оновлення;
- максимально обмежити фізичний доступ до робочих станцій і серверів, зокрема до відкритих PCIe-слотів і портів Thunderbolt;
- використовувати Secure Boot, TPM та додаткові засоби контролю цілісності завантажувального середовища (Measured Boot, атестація платформи);
- врахувати DMA-атаки та конфігурацію IOMMU в моделях загроз і політиках безпеки.
Нові уразливості UEFI ще раз демонструють, що захист на рівні додатків та навіть ОС не буде ефективним, якщо платформа налаштована неправильно. Регулярне оновлення прошивок, контроль фізичного доступу та уважне ставлення до попереджень таких систем, як Riot Vanguard, допомагають знизити ризик не лише ігрових читів, а й повноцінних цільових атак на інфраструктуру. Користувачам і ІТ-фахівцям варто постійно стежити за бюлетенями безпеки виробників обладнання й центрами на кшталт CERT/CC та оперативно реагувати на публікацію критичних CVE, щоб не залишати зловмисникам жодного шансу скористатися помилками на рівні платформи.
