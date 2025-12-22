Специалисты Riot Games обнаружили уязвимость в имплементации UEFI на материнских платах Asus, Gigabyte, MSI и ASRock. Баг позволяет провести DMA-атаку (получить прямой доступ к памяти) и обойти защиту на этапе загрузки системы. Проблема получила сразу несколько идентификаторов (CVE-2025-11901, CVE-2025-14302, CVE-2025-14303 и CVE-2025-14304) из-за различий имплементаций разных вендоров.

Уязвимость связана с механизмом DMA — аппаратной функцией, которая позволяет устройствам вроде видеокарт, Thunderbolt-девайсов и PCIe-устройств напрямую читать и записывать данные в оперативную память, минуя центральный процессор. Обычно такие операции контролирует IOMMU — аппаратный «брандмауэр» памяти, который контролирует то, что происходит между устройствами и ОЗУ и определяет, какие области памяти доступны конкретному девайсу.

Как выяснили исследователи, во время загрузки, когда UEFI только инициализируется, IOMMU должен активироваться раньше, чем появится возможность провести DMA-атаку. В противном случае защита попросту отсутствует, и любое физически подключенное устройство может свободно читать или записывать данные в память. Специалисты объясняют, что UEFI показывает, будто DMA-защита включена, хотя на самом деле IOMMU не инициализировался корректно.

Как отмечает издание Bleeping Computer, игры Riot Games (вроде Valorant) отказывались запускаться на уязвимых системах из-за античит-системы Vanguard, которая работает на уровне ядра и борется с использованием читерского ПО.

«Если чит загружается раньше нас, у него больше шансов спрятаться таким образом, чтобы мы его не нашли. Это позволяет читерам оставаться незамеченными и портить игру дольше, чем мы готовы терпеть», — комментируют в Riot Games.

Хотя исследователи описывают уязвимость с точки зрения геймдева (как проблему, позволяющую читерам загружать свой софт на ранних этапах загрузки машины), угроза распространяется и на любой другой вредоносный код.

Однако для эксплуатации бага понадобится физический доступ к компьютеру: злоумышленник должен подключить собственное вредоносное PCIe-устройство для реализации DMA-атаки.

«Хотя прошивка сообщает, что DMA-защита активна, она не настраивает и не включает IOMMU должным образом на критическом этапе передачи управления в процессе загрузки, — сообщают эксперты CERT/CC в отдельном бюллетене безопасности. — Проблема позволяет вредоносному DMA-совместимому PCIe-устройству читать или модифицировать системную память до того, как заработают защитные механизмы на уровне операционной системы».

В CERT/CC подтвердили, что уязвимость затрагивает ряд моделей материнских плат ASRock, Asus, Gigabyte и MSI. Также возможно, что уязвимы и продукты других производителей.

CVE-2025-14304 (7,0 баллов по шкале CVSS) — затрагивает материнские платы ASRock, ASRock Rack и ASRock Industrial, использующие чипсеты Intel серий 500, 600, 700 и 800.

CVE-2025-11901 (7,0 баллов по шкале CVSS) — затрагивает материнские платы Asus, использующие чипсеты серий Intel Z490, W480, B460, H410, Z590, B560, H510, Z690, B660, W680, Z790, B760 и W790.

CVE-2025-14302 (7,0 баллов по шкале CVSS) — затрагивает материнские платы Gigabyte, использующие чипсеты Intel Z890, W880, Q870, B860, H810, Z790, B760, Z690, Q670, B660, H610, W790, а также чипсеты AMD X870E, X870, B850, B840, X670, B650, A620, A620A и TRX50 (исправление для TRX50 запланировано на первый квартал 2026 года).

CVE-2025-14303 (7,0 баллов по шкале CVSS) — затрагивает материнские платы MSI, использующие чипсеты Intel серий 600 и 700.

Владельцам уязвимых устройств рекомендуют проверить наличие доступных обновлений прошивки и установить их (не забыв предварительно выполнить резервное копирование важных данных).

Специалисты Riot Games отмечают, что обновили античит-систему Vanguard. Теперь если система уязвима перед DMA-атакой, Vanguard блокирует запуск Valorant и показывает всплывающее окно с информацией о том, что нужно сделать для старта игры.