(https://www.bleepstatic.com/content/hl-images/2022/06/02/cpu-motherboard.jpg)
La implementación del firmware UEFI en algunas placas base de ASUS, Gigabyte, MSI y ASRock es vulnerable a ataques de acceso directo a memoria (DMA) que pueden eludir las protecciones de memoria durante el arranque inicial.
Este problema de seguridad ha recibido varios identificadores ( CVE-2025-11901, CVE-2025-14302, CVE-2025-14303 y CVE-2025-14304 ) debido a las diferencias en las implementaciones de cada fabricante.
DMA es una característica de hardware que permite a dispositivos como tarjetas gráficas, dispositivos Thunderbolt y dispositivos PCIe leer y escribir directamente en la memoria RAM sin la intervención de la CPU.
IOMMU es un cortafuegos de memoria implementado por hardware que se sitúa entre los dispositivos y la memoria RAM, controlando qué regiones de memoria son accesibles para cada dispositivo.
Durante el arranque inicial, cuando el firmware UEFI se inicializa, IOMMU debe activarse antes de que sean posibles los ataques DMA; de lo contrario, no existe ninguna protección para impedir la lectura o escritura en regiones de memoria mediante acceso físico.
Valorant no se inicia en sistemas vulnerables
La vulnerabilidad fue descubierta por los investigadores de Riot Games, Nick Peterson y Mohamed Al-Sharifi. Esta vulnerabilidad provoca que el firmware UEFI muestre que la protección DMA está activada incluso si IOMMU no se inicializó correctamente, dejando el sistema expuesto a ataques.
Peterson y Al-Sharifi revelaron el problema de seguridad de forma responsable y trabajaron con CERT Taiwán para coordinar una respuesta y contactar con los proveedores afectados.
Los investigadores explican que cuando se enciende un sistema informático, este se encuentra "en su estado más privilegiado: tiene acceso completo e ilimitado a todo el sistema y a todo el hardware conectado".
Las protecciones solo están disponibles después de cargar el firmware inicial, que en la mayoría de los casos es UEFI, el cual inicializa el hardware y el software de forma segura. El sistema operativo es uno de los últimos componentes en cargarse durante la secuencia de arranque.
En los sistemas vulnerables, algunos títulos de Riot Games, como el popular Valorant, no se ejecutarán. Esto se debe al sistema Vanguard, que funciona a nivel del kernel para proteger contra trampas.
"Si un programa de trampas se carga antes que nosotros, tiene más posibilidades de ocultarse donde no podamos detectarlo. Esto crea una oportunidad para que los programas de trampas intenten permanecer indetectables, causando estragos en los juegos durante más tiempo del que consideramos aceptable", afirma Riot Games.
Aunque los investigadores describieron la vulnerabilidad desde la perspectiva de la industria de los videojuegos, donde se podrían cargar programas de trampas al inicio, el riesgo de seguridad se extiende al código malicioso que puede comprometer el sistema operativo.
Los ataques requieren acceso físico, donde se necesita conectar un dispositivo PCIe malicioso para realizar un ataque DMA antes de que se inicie el sistema operativo. Durante ese tiempo, el dispositivo malicioso puede leer o modificar la memoria RAM libremente.
"Aunque el firmware afirma que las protecciones DMA están activas, no configura ni habilita correctamente la IOMMU durante la fase inicial de transferencia en la secuencia de arranque", según el aviso del Centro de Coordinación CERT de Carnegie Mellon (CERT/CC).
"Esta brecha permite que un dispositivo Peripheral Component Interconnect Express (PCIe) malicioso con capacidad DMA y acceso físico lea o modifique la memoria del sistema antes de que se establezcan las medidas de seguridad a nivel del sistema operativo".
Dado que la explotación ocurre antes del arranque del sistema operativo, no habría advertencias de las herramientas de seguridad, ni solicitudes de permisos, ni alertas para notificar al usuario.
Se confirma el amplio impacto de la vulnerabilidad
Carnegie Mellon CERT/CC confirmó que la vulnerabilidad afecta a algunos modelos de placas base de ASRock, ASUS, GIGABYTE y MSI, pero es posible que también se vean afectados productos de otros fabricantes de hardware.
Los modelos específicos afectados de cada fabricante se enumeran en los boletines de seguridad y las actualizaciones de firmware de los respectivos fabricantes (ASUS, MSI, Gigabyte, ASRock).
Se recomienda a los usuarios que busquen las actualizaciones de firmware disponibles y las instalen después de realizar una copia de seguridad de sus datos importantes.
Riot Games ha actualizado Vanguard, su sistema antitrampas a nivel de kernel que protege contra bots y scripts en juegos como Valorant y League of Legends.
Si un sistema se ve afectado por la vulnerabilidad de UEFI, Vanguard impedirá que se inicie Valorant y mostrará una ventana emergente con información sobre los pasos necesarios para iniciar el juego.
«Nuestro sistema VAN:Restriction es la forma en que Vanguard les indica que no podemos garantizar la integridad del sistema debido a las funciones de seguridad deshabilitadas», afirman los investigadores de Riot Games.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/new-uefi-flaw-enables-pre-boot-attacks-on-motherboards-from-gigabyte-msi-asus-asrock/