Критическая уязвимость в реализациях UEFI затрагивает оборудование ведущих мировых производителей: ASRock, ASUSTeK Computer (ASUS), GIGABYTE и MSI. Основная проблема заключается в несоответствии статуса защиты DMA (прямого доступа к памяти): прошивка сообщает об активной защите, однако в реальности она не конфигурирует и не включает IOMMU (блок управления памятью ввода-вывода) во время критически важной фазы загрузки. Это открывает возможность для проведения атак прямого доступа к памяти на раннем этапе загрузки, позволяя злоумышленникам обойти механизмы безопасности еще до инициализации операционной системы.
В штатном режиме UEFI и IOMMU должны предотвращать несанкционированный доступ периферийных устройств к оперативной памяти или манипуляции с ней до загрузки ОС. Однако обнаруженный сбой позволяет атакующему, имеющему физический доступ к машине и использующему вредоносное устройство PCIe с поддержкой DMA, читать или модифицировать системную память. Это происходит до того, как вступят в силу защитные меры ядра операционной системы, что делает возможным внедрение кода на этапе предварительной загрузки (pre-boot code injection), подрыв целостности процесса загрузки и получение доступа к конфиденциальным данным или контроль над начальным состоянием системы.
Исследователи безопасности Ник Петерсон и Мохамед Аль-Шарифи из компании Riot Games обнаружили данную проблему и передали информацию в координационный центр CERT (CERT/CC). Все выявленные уязвимости классифицируются как сбои механизма защиты и имеют оценку CVSS 7.0. Первая из них, зарегистрированная под идентификатором CVE-2025-14304, затрагивает продукцию ASRock, включая подразделения ASRock Rack и ASRock Industrial. В зону риска попадают материнские платы на базе чипсетов Intel серий 500, 600, 700 и 800.
Для продукции компании ASUS присвоен идентификатор CVE-2025-11901. Уязвимость распространяется на широкий спектр материнских плат, использующих чипсеты Intel различных поколений. В список уязвимого оборудования входят платы на наборах логики Z490, W480, B460 и H410, а также более современные линейки: Z590, B560, H510, серии Z690, B660, W680 и новейшие Z790, B760 и W790. Оценка опасности сохраняется на уровне 7.0 баллов по шкале CVSS, что свидетельствует о высокой степени риска при наличии физического доступа к оборудованию.
Компания GIGABYTE столкнулась с уязвимостью CVE-2025-14302, которая затрагивает платформы как на базе Intel, так и на базе AMD. Среди чипсетов Intel под угрозой находятся серии Z890, W880, Q870, B860, H810, а также Z790, B760, линейки 600-й серии (Z690, Q670, B660, H610) и чипсет W790 для рабочих станций. Список уязвимых платформ AMD включает X870E, X870, B850, B840, X670, B650, A620, A620A и TRX50. Важно отметить, что исправление для высокопроизводительной серии TRX50 запланировано только на первый квартал 2026 года.
Четвертая уязвимость, CVE-2025-14303, относится к материнским платам производства MSI. Как и в случаях с другими вендорами, проблема связана с некорректной инициализацией защиты DMA. В данном случае затронуты устройства, построенные на базе чипсетов Intel 600-й и 700-й серий. CVSS оценка данной уязвимости также составляет 7.0, подтверждая идентичный уровень угрозы для всех затронутых производителей из-за общего характера ошибки в конфигурации прошивки.
Для устранения угрозы производители выпускают обновления прошивок, которые корректируют последовательность инициализации IOMMU и принудительно активируют защиту DMA на протяжении всего процесса загрузки. Координационный центр CERT настоятельно рекомендует пользователям оперативно устанавливать обновления по мере их появления. Кроме того, подчеркивается важность соблюдения передовых практик аппаратной безопасности, особенно в средах, где невозможно полностью контролировать физический доступ к оборудованию.
Корректная конфигурация прошивки имеет решающее значение не только для персональных компьютеров, но и для центров обработки данных. Правильная изоляция и делегирование доверия жизненно важны в виртуализированных и облачных средах. Уязвимость подчеркивает необходимость строгого контроля за цепочкой загрузки, так как компрометация на уровне UEFI делает бесполезными многие последующие программные средства защиты операционной системы.
Изображение носит иллюстративный характер
В штатном режиме UEFI и IOMMU должны предотвращать несанкционированный доступ периферийных устройств к оперативной памяти или манипуляции с ней до загрузки ОС. Однако обнаруженный сбой позволяет атакующему, имеющему физический доступ к машине и использующему вредоносное устройство PCIe с поддержкой DMA, читать или модифицировать системную память. Это происходит до того, как вступят в силу защитные меры ядра операционной системы, что делает возможным внедрение кода на этапе предварительной загрузки (pre-boot code injection), подрыв целостности процесса загрузки и получение доступа к конфиденциальным данным или контроль над начальным состоянием системы.
Исследователи безопасности Ник Петерсон и Мохамед Аль-Шарифи из компании Riot Games обнаружили данную проблему и передали информацию в координационный центр CERT (CERT/CC). Все выявленные уязвимости классифицируются как сбои механизма защиты и имеют оценку CVSS 7.0. Первая из них, зарегистрированная под идентификатором CVE-2025-14304, затрагивает продукцию ASRock, включая подразделения ASRock Rack и ASRock Industrial. В зону риска попадают материнские платы на базе чипсетов Intel серий 500, 600, 700 и 800.
Для продукции компании ASUS присвоен идентификатор CVE-2025-11901. Уязвимость распространяется на широкий спектр материнских плат, использующих чипсеты Intel различных поколений. В список уязвимого оборудования входят платы на наборах логики Z490, W480, B460 и H410, а также более современные линейки: Z590, B560, H510, серии Z690, B660, W680 и новейшие Z790, B760 и W790. Оценка опасности сохраняется на уровне 7.0 баллов по шкале CVSS, что свидетельствует о высокой степени риска при наличии физического доступа к оборудованию.
Компания GIGABYTE столкнулась с уязвимостью CVE-2025-14302, которая затрагивает платформы как на базе Intel, так и на базе AMD. Среди чипсетов Intel под угрозой находятся серии Z890, W880, Q870, B860, H810, а также Z790, B760, линейки 600-й серии (Z690, Q670, B660, H610) и чипсет W790 для рабочих станций. Список уязвимых платформ AMD включает X870E, X870, B850, B840, X670, B650, A620, A620A и TRX50. Важно отметить, что исправление для высокопроизводительной серии TRX50 запланировано только на первый квартал 2026 года.
Четвертая уязвимость, CVE-2025-14303, относится к материнским платам производства MSI. Как и в случаях с другими вендорами, проблема связана с некорректной инициализацией защиты DMA. В данном случае затронуты устройства, построенные на базе чипсетов Intel 600-й и 700-й серий. CVSS оценка данной уязвимости также составляет 7.0, подтверждая идентичный уровень угрозы для всех затронутых производителей из-за общего характера ошибки в конфигурации прошивки.
Для устранения угрозы производители выпускают обновления прошивок, которые корректируют последовательность инициализации IOMMU и принудительно активируют защиту DMA на протяжении всего процесса загрузки. Координационный центр CERT настоятельно рекомендует пользователям оперативно устанавливать обновления по мере их появления. Кроме того, подчеркивается важность соблюдения передовых практик аппаратной безопасности, особенно в средах, где невозможно полностью контролировать физический доступ к оборудованию.
Корректная конфигурация прошивки имеет решающее значение не только для персональных компьютеров, но и для центров обработки данных. Правильная изоляция и делегирование доверия жизненно важны в виртуализированных и облачных средах. Уязвимость подчеркивает необходимость строгого контроля за цепочкой загрузки, так как компрометация на уровне UEFI делает бесполезными многие последующие программные средства защиты операционной системы.
