Ваш ПК станет марионеткой хакеров за секунды. Один PCIe-кабель ломает защиту компьютеров от всех топовых брендов

Исследователи обнаружили уязвимость в реализации UEFI-прошивок на материнских платах сразу нескольких крупных производителей — ASUS, Gigabyte, MSI и ASRock. Проблема затрагивает ранний этап загрузки компьютера и позволяет проводить атаки с использованием прямого доступа к памяти, обходя защитные механизмы, которые должны срабатывать ещё до запуска операционной системы.

Уязвимость получила сразу несколько идентификаторов — CVE-2025-11901, CVE-2025-14302, CVE-2025-14303 и CVE-2025-14304. Такое дробление связано с различиями в том, как конкретные вендоры реализовали одну и ту же логику в своих прошивках. В основе проблемы лежит некорректная инициализация IOMMU — аппаратного механизма, который отвечает за контроль доступа периферийных устройств к оперативной памяти.

DMA, или direct memory access, — это штатная возможность железа, позволяющая видеокартам, PCIe-устройствам и интерфейсам вроде Thunderbolt напрямую читать и записывать данные в RAM, не нагружая процессор. Чтобы подобный доступ не превращался в универсальный инструмент атаки, между устройствами и памятью используется IOMMU — своего рода аппаратный межсетевой экран. Он определяет, какие области памяти разрешены для каждого подключённого компонента. Однако в момент включения компьютера эта защита должна быть активирована максимально рано, иначе физически подключённое устройство получает полный контроль над содержимым RAM.

Именно здесь и возникает уязвимость. Исследование показало, что на ряде систем UEFI сообщает о включённой защите от DMA-атак, даже если IOMMU фактически не был корректно запущен. В результате создаётся ложное ощущение безопасности, тогда как память остаётся полностью открытой для чтения и модификации.

Проблему выявила команда Riot Games — Ник Питерсон и Мохамед Аль-Шарифи. Они ответственно раскрыли детали находки и работали совместно с CERT Taiwan, чтобы координировать взаимодействие с производителями оборудования. По их словам, момент включения компьютера — самый привилегированный этап работы системы: в этот период машина имеет неограниченный доступ ко всем компонентам и не контролируется операционной средой. Защитные механизмы начинают появляться лишь после инициализации прошивки, а сама ОС загружается одной из последних.

На уязвимых конфигурациях проблема проявляется не только теоретически. Некоторые игры Riot Games, включая Valorant, попросту отказываются запускаться. Причина связана с античит-системой Vanguard, работающей на уровне ядра. Она рассчитана на то, что никакой сторонний код не сможет закрепиться раньше неё. Если же вредоносный модуль загружается до активации защиты, он получает шанс замаскироваться и избежать обнаружения, что для разработчиков недопустимо.

Хотя исследование было подано через призму игровой индустрии, реальные риски выходят далеко за её пределы. Атака с использованием DMA может быть применена для внедрения зловредов, компрометации операционной системы или подмены данных ещё до появления каких-либо средств контроля. Для эксплуатации требуется физический доступ: злоумышленник должен подключить вредоносное PCIe-устройство до завершения загрузки. В этот короткий промежуток память можно читать или изменять без каких-либо ограничений.

В консультативном бюллетене Центра координации CERT при Университете Карнеги — Меллона подчёркивается, что прошивка формально заявляет об активной защите, но не завершает настройку IOMMU в критический момент передачи управления. Из-за этого операционные средства безопасности оказываются бессильны: никаких предупреждений, запросов разрешений или тревожных сигналов пользователь не увидит.

CERT/CC подтвердил, что уязвимость затрагивает отдельные модели материнских плат ASRock, ASUS, Gigabyte и MSI, при этом не исключено, что аналогичная логика присутствует и в продуктах других производителей. Конкретные списки устройств опубликованы в бюллетенях безопасности и сопровождаются обновлениями прошивок. Пользователям настоятельно рекомендуется проверить наличие патчей и перед установкой сохранить важные данные.

Riot Games, в свою очередь, обновила Vanguard — античит теперь блокирует запуск Valorant на системах с обнаруженной проблемой и выводит уведомление с объяснением причины. Этот механизм, обозначаемый как VAN:Restriction, сигнализирует о том, что целостность среды не может быть гарантирована из-за отключённых или некорректно работающих защитных функций. Иначе говоря, игра просто отказывается доверять компьютеру, который может быть скомпрометирован ещё до загрузки ОС.