В устройствах от ASUS, Gigabyte, MSI и ASRock происходит сбой при инициализации аппаратного модуля безопасности IOMMU, хотя интерфейс UEFI ошибочно сообщает о его активном состоянии.
Данный дефект в микропрограммном обеспечении UEFI указанных производителей материнских плат создаёт условия для проведения атак через подсистему прямого доступа к памяти (DMA), минуя базовые средства защиты.
Несмотря на то, что проблема по сути одна, ей присвоили четыре отдельных идентификатора CVE из-за особенностей реализации UEFI у разных вендоров: CVE-2025-11901, CVE-2025‑14302, CVE-2025-14303 и CVE-2025-14304.
DMA — это аппаратный механизм, дающий возможность видеокартам, Thunderbolt-устройствам, PCIe-компонентам и другой периферии напрямую взаимодействовать с оперативной памятью, без участия центрального процессора.
Между периферийными устройствами и памятью находится IOMMU — аппаратный контроллер, который определяет, каким областям памяти может получить доступ каждое конкретное устройство. Он также выступает в роли защитного барьера, своеобразного аппаратного брандмауэра, оберегающего память от некорректных запросов оборудования. Кроме того, IOMMU играет важную роль в античитерских системах для компьютерных игр.
Активация IOMMU должна происходить на самом раннем этапе загрузки, ещё до запуска UEFI, чтобы исключить возможность атак через DMA.
Однако, как обнаружили специалисты компании Riot Games Ник Питерсон (Nick Peterson) и Мухаммед Аль-Шарифи (Mohamed Al-Sharifi), в системах перечисленных производителей UEFI отображает статус активной защиты DMA даже в тех случаях, когда IOMMU фактически не был инициализирован, оставляя систему уязвимой.
Исследователи поясняют, что при старте компьютер находится «в состоянии с максимальными привилегиями: он обладает полным и ничем не ограниченным доступом ко всем системным ресурсам и подключённому оборудованию».
Компоненты, загружающиеся первыми, имеют наивысший уровень привилегий и могут влиять на последующие. Операционная система и все её защитные механизмы загружаются в самом конце этого процесса.
В отчёте Riot Games основное внимание уделено читерским программам, которые позволяют нечестным игрокам получать преимущество над соперниками.
Эксперты отмечают, что создатели читов стремятся внедрить их в процесс загрузки до старта операционной системы, на максимально низком уровне (чем он ниже, тем лучше). Наиболее действенными и дорогими являются как раз те читы, которые функционируют на уровне DMA.
Такие средства защиты процесса загрузки, как Secure Boot, VBS и IOMMU, предназначены для блокирования данного канала атак, но только при их корректной работе.
Однако выяснилось, что на некоторых материнских платах от ASUS, Gigabyte, MSI и ASRock это условие не соблюдается.
Как сообщает Riot Games, на уязвимых компьютерах некоторые популярные игры компании, включая Valorant, не смогут запуститься: этому воспрепятствует античитовая система Vanguard, функционирующая на уровне ядра.
По информации издания BleepingComputer, использование читов — лишь один из возможных негативных сценариев, реализуемых через эти уязвимости.
Их также можно применять для внедрения вредоносного кода на уровень ниже операционной системы, что влечёт за собой серьёзные последствия.
Стоит отметить, что для успешной атаки, скорее всего, потребуется физический доступ к устройству и возможность подключить вредоносный PCIe-компонент до старта ОС. В таком случае код на этом устройстве получает возможность читать и модифицировать данные в системной памяти.
«Буткиты (Bootkit) представляют собой наиболее распространённый и опасный тип вредоносного ПО, которое загружается ниже уровня операционной системы, оставаясь невидимым для средств защиты, работающих уже внутри неё, — поясняет Михаил Зайцев, эксперт по кибербезопасности компании SEQ. — И если удалить такой вредонос с персонального компьютера относительно несложно — многие производители антивирусов предлагают для этого специальные утилиты, — то в виртуальных средах обезвредить буткит значительно труднее, чем изначально предотвратить его проникновение».
Группа реагирования на киберинциденты Университета Карнеги-Меллон провела независимое исследование, подтвердившее наличие уязвимостей в материнских платах указанных производителей, а также предупредив, что проблема может затрагивать и другие устройства.
Пользователям рекомендуется устанавливать обновления UEFI сразу после их публикации вендорами. Компании ASUS, Gigabyte, MSI и ASRock уже выпустили соответствующие патчи.
