ضعف جدید فریم ور UEFI راه را برای حملات قبل از بوت بر روی مادربردها می‌گشاید

به گزارش سرویس سخت‌افزار تکناک، این آسیب‌پذیری، محافظت‌های حافظه در مراحل اولیه بوت سیستم را دور می‌زند و امکان حملات قبل از راه‌اندازی سیستم‌عامل را فراهم می‌کند. این مشکل امنیتی با چندین شناسه (CVE-2025-11901، CVE-2025‑14302، CVE-2025-14303 و CVE-2025-14304) ثبت شده است که تفاوت در پیاده‌سازی‌های فروشندگان را نشان می‌دهد.

قابلیت DMA، یک ویژگی سخت‌افزاری است که به دستگاه‌هایی مانند کارت‌های گرافیک، دستگاه‌های تاندربولت و PCIe اجازه می‌دهد تا بدون دخالت CPU، مستقیماً به RAM دسترسی داشته باشند.

IOMMU نیز به عنوان یک فایروال حافظه سخت‌افزاری عمل می‌کند و دسترسی دستگاه‌ها به مناطق خاص حافظه را کنترل می‌کند. این فایروال باید در طول مراحل اولیه بوت، یعنی زمانی که فرم‌ور UEFI راه‌اندازی می‌شود و قبل از امکان‌پذیر شدن حملات DMA، فعال شود. اما محققان دریافته‌اند که فرم‌ور UEFI در سیستم‌های آسیب‌پذیر، به اشتباه نشان می‌دهد که محافظت DMA فعال است، در حالی که IOMMU به درستی راه‌اندازی نشده است. این امر، سیستم را بدون محافظت رها کرده و آن را در برابر حملات خواندن یا نوشتن روی مناطق حافظه از طریق دسترسی فیزیکی، آسیب‌پذیر می‌سازد.

این آسیب‌پذیری توسط محققان Riot Games، نیک پترسون و محمد الشریفی، کشف شد. آن‌ها مسئولانه این مشکل امنیتی را افشا کردند و با CERT تایوان همکاری کردند تا پاسخ مناسب و اطلاع‌رسانی به فروشندگان آسیب‌دیده را هماهنگ کنند. محققان تاکید می‌کنند که یک سیستم کامپیوتری، در زمان روشن شدن، در ممتازترین وضعیت خود قرار دارد و دسترسی کامل و نامحدود به کل سیستم و سخت‌افزارهای متصل را دارد. محافظت‌ها تنها پس از بارگذاری فرم‌ور اولیه، که بیشتر اوقات UEFI است، در دسترس قرار می‌گیرند.

برخی از عناوین Riot Games، از جمله بازی محبوب Valorant، روی سیستم‌های آسیب‌پذیر راه‌اندازی نمی‌شوند. این امر به دلیل سیستم Vanguard است که در سطح هسته برای محافظت در برابر تقلب‌ها کار می‌کند. Riot Games توضیح می‌دهد که “اگر یک تقلب، قبل از ما بارگذاری شود، آن شانس بهتری را برای پنهان شدن در جایی که ما نمی‌توانیم آن را پیدا کنیم، دارد. این، فرصتی را برای تقلب‌ها، برای تلاش و پنهان ماندن از دید، ایجاد می‌کند و برای مدت طولانی‌تری که ما با آن موافق نیستیم، در بازی‌های شما، ویرانی به بار می‌آورد.”

اگرچه محققان این آسیب‌پذیری را از منظر صنعت بازی، جایی که تقلب‌ها می‌توانستند در مراحل اولیه بارگذاری شوند، توصیف کردند، اما این خطر امنیتی به کد مخربی که می‌تواند سیستم‌عامل را به خطر بیندازد نیز گسترش می‌یابد. این حملات نیاز به دسترسی فیزیکی دارند، به این صورت که یک دستگاه مخرب PCIe باید قبل از شروع سیستم‌عامل به سیستم متصل شود. در آن زمان، دستگاه مخرب می‌تواند آزادانه RAM را بخواند یا تغییر دهد. به دلیل وقوع بهره‌برداری قبل از بوت سیستم‌عامل، هیچ هشدار، درخواست مجوز یا اطلاعیه‌ای از ابزارهای امنیتی برای اطلاع‌رسانی به کاربر، وجود نخواهد داشت.

به گفته بلیپینگ‌کامپیوتر، مرکز هماهنگی CERT کارنگی ملون (CERT/CC) تأیید کرده است که این آسیب‌پذیری، برخی از مدل‌های مادربرد را از ASRock، ASUS، GIGABYTE و MSI تحت تأثیر قرار می‌دهد، اما محصولات سایر تولیدکنندگان سخت‌افزار نیز ممکن است آسیب‌پذیر باشند. مدل‌های خاص آسیب‌دیده برای هر تولیدکننده، در بولتن‌های امنیتی و به‌روزرسانی‌های فرم‌ور منتشر شده توسط این شرکت‌ها (ASUS، MSI، Gigabyte، ASRock) فهرست شده‌اند.

به کاربران به شدت توصیه می‌شود که به‌روزرسانی‌های فرم‌ور موجود را بررسی کنند و پس از پشتیبان‌گیری از اطلاعات مهم خود، آن‌ها را نصب نمایند. Riot Games نیز سیستم Vanguard خود را به‌روزرسانی کرده است و اگر سیستمی تحت تأثیر آسیب‌پذیری UEFI قرار گیرد، راه‌اندازی Valorant را مسدود می‌کند و کاربران را با یک پنجره پاپ‌آپ حاوی جزئیات مورد نیاز برای شروع بازی، مطلع می‌سازد. محققان Riot Games می‌گویند: “سیستم VAN:Restriction ما، روش Vanguard برای گفتن به شماست که ما نمی‌توانیم یکپارچگی سیستم را به دلیل ویژگی‌های امنیتی غیرفعال شده ذکر شده، تضمین کنیم.”