Поделиться
В материнских платах ASUS, Gigabyte, MSI не загружается ключевой защитный механизм
В оборудовании ASUS, Gigabyte, MSI и ASRock некорректно подгружается аппаратный защитный компонент IOMMU, при этом UEFI-оболочка утверждает, что защита активна.
Четыре вендора, четыре ошибки
Ошибка в программных оболочках UEFI в материнских платах ASUS, Gigabyte, MSI и ASRock открывает возможность для атак на подсистему DMA (Direct Memory Access - прямой доступ к памяти) в обход низкоуровневых защитных инструментов.
Хотя речь идёт об одной и той же уязвимости, ей были присвоены сразу четыре CVE-индекса в связи с различиями в реализации UEFI: CVE-2025-11901, CVE-2025‑14302, CVE-2025-14303 и CVE-2025-14304.
DMA - это аппаратный компонент, который позволяет видеокартам, устройствам Thunderbolt и PCIe и другой периферии обращаться к памяти напрямую в обход центрального процессора.
Между периферийными устройствами и памятью располагается IOMMU - аппаратный менеджер памяти, регулирующий, какие области памяти будут доступны какому из обращающихся устройств. Он также выполняет роль защитного инструмента - аппаратного файерволла, обеспечивая защиту памяти от обращений со стороны неисправных устройств. IOMMU также является ключевым элементом античитерских систем для видеоигр.
IOMMU должен задействоваться на раннем этапе загрузки системы и UEFI, до того, как становятся возможными атаки на DMA-компонент.
Однако, как выяснили исследователи компании Riot Games Ник Питерсон (Nick Peterson) и Мухаммед Аль-Шарифи (Mohamed Al-Sharifi), в системах вышеупомянутых производителей UEFI выводит сообщение об активной защите DMA даже тогда, когда инициализация IOMMU в действительности не произошла и, следовательно, система открыта для атак.
Кто первый, того и тапки
Как пояснили исследователи, при включении компьютера он находится «в максимально привилегированном состоянии: у него есть полный, ничем не ограниченный доступ ко всем системным ресурсам и подключённому оборудованию».
Те компоненты, которые загружаются раньше остальных, обладают наибольшими привилегиями, и могут воздействовать на последующие компоненты. Операционная система, а следовательно, и все её защитные механизмы загружаются в последнюю очередь.
В публикации Riot Games акцент сделан на читы - программы, позволяющие недобросовестным игрокам получать преимущества перед другими.
Исследователи указывают, что разработчики читов пытаются встроить их в загрузочную процедуру до операционной системы, на самом низком уровне (и чем более низком, тем лучше). Самыми эффективными и дорогостоящими читами являются те, которые работают как раз на уровне DMA.
Механизмы защиты загрузочного цикла, такие как Secure Boot, VBS и IOMMU, призваны блокировать этот вектор атаки, но это при условии, что всё работает как положено.
А в случае с некоторыми материнскими платами ASUS, Gigabyte, MSI и ASRock оказалось, что это не так.
В публикации Riot Games указывается, что на уязвимых системах некоторые популярные игры Riot - такие как Valorant - просто не запустятся: этому помешает система защиты от читов Vanguard, которая работает на уровне ядра.
Не читами едиными
Издание BleepingComputer отмечает, что читы - далеко не единственный сценарий причинения ущерба за счёт этих уязвимостей.
Их можно использовать также и для подгрузки вредоносного кода на уровне ниже операционной системы - со всеми вытекающими.
Впрочем, атака, вероятнее всего, потребует физического доступа к системе и возможности подключить вредоносное PCIe-устройство до загрузки операционной системы. Если это происходит, у вредоносного кода на таком устройстве возникает возможность считывать и изменять содержимое системной памяти.
«Буткиты (Bootkit) - это как раз самый распространённый и наиболее проблематичный вид вредоносных программ, загружаемых на уровне ниже операционной системы, и тем самым остающиеся невидимыми для защитных средств, работающих уже на её собственном уровне, - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - И если удалить такой вредонос на индивидуальных пользовательских системах сравнительно просто - большинство антивирусных вендоров выпускают средства для этого, - то в системах виртуализации нейтрализовать буткит куда сложнее, чем помешать ему попасть в систему».
Группа по реагированию на киберинциденты Университета Карнеги-Меллона провела собственное исследование, подтвердив наличие уязвимостей в материнских платах перечисленных вендоров, а заодно предупредив, что ими дело может не ограничиваться.
Конечным пользователям рекомендовано устанавливать обновления UEFI сразу же после их выпуска вендорами. ASUS, Gigabyte, MSI и ASRock уже выпустили такие обновления.
Короткая ссылка
