A implementação do firmware UEFI em algumas placas-mãe da ASUS, Gigabyte, MSI e ASRock é vulnerável a ataques de acesso direto à memória (DMA) que podem contornar as proteções de memória na inicialização do sistema.
A vulnerabilidade de segurança recebeu múltiplos identificadores (CVE-2025-11901, CVE-2025-14302, CVE-2025-14303 e CVE-2025-14304) devido a diferenças nas implementações dos fornecedores.
DMA é um recurso de hardware que permite que dispositivos como placas gráficas, dispositivos Thunderbolt e dispositivos PCIe leiam e gravem diretamente na RAM sem envolver a CPU.
IOMMU é um firewall de memória imposto por hardware que fica entre os dispositivos e a RAM, controlando quais regiões de memória são acessíveis para cada dispositivo.
Durante a inicialização do sistema, quando o firmware UEFI é inicializado, o IOMMU deve ser ativado antes que ataques DMA sejam possíveis; caso contrário, não há proteção para impedir a leitura ou gravação em regiões de memória por meio de acesso físico.
Valorant não será lançado em sistemas vulneráveis.
A vulnerabilidade foi descoberta pelos pesquisadores da Riot Games, Nick Peterson e Mohamed Al-Sharifi. Ela faz com que o firmware UEFI mostre que a proteção DMA está ativada mesmo que o IOMMU não tenha sido inicializado corretamente, deixando o sistema exposto a ataques.
Peterson e Al-Sharifi divulgaram o problema de segurança de forma responsável e trabalharam com o CERT Taiwan para coordenar uma resposta e entrar em contato com os fornecedores afetados.
Os pesquisadores explicam que, quando um sistema de computador é ligado, ele está “em seu estado mais privilegiado: tem acesso total e irrestrito a todo o sistema e a todo o hardware conectado”.
As proteções só ficam disponíveis após o carregamento do firmware inicial, que na maioria das vezes é UEFI, responsável pela inicialização segura do hardware e do software. O sistema operacional está entre os últimos a serem carregados na sequência de inicialização.
Em sistemas vulneráveis, alguns títulos da Riot Games, como o popular Valorant, não serão iniciados. Isso ocorre devido ao sistema Vanguard, que opera em nível de kernel para proteger contra trapaças.
“Se um cheat carregar antes de nós, ele terá mais chances de se esconder onde não conseguimos encontrá-lo. Isso cria uma oportunidade para que cheats tentem permanecer indetectáveis, causando estragos em seus jogos por mais tempo do que consideramos aceitável” – Riot Games
Embora os pesquisadores tenham descrito a vulnerabilidade sob a perspectiva da indústria de jogos, onde cheats poderiam ser carregados logo no início, o risco de segurança se estende a códigos maliciosos que podem comprometer o sistema operacional.
Os ataques exigem acesso físico, onde um dispositivo PCIe malicioso precisa estar conectado para um ataque DMA antes que o sistema operacional seja iniciado. Durante esse período, o dispositivo malicioso pode ler ou modificar a RAM livremente.
“Embora o firmware afirme que as proteções DMA estão ativas, ele não consegue configurar e habilitar corretamente o IOMMU durante a fase inicial de transferência na sequência de inicialização”, diz o comunicado do Centro de Coordenação CERT da Carnegie Mellon (CERT/CC).
“Essa brecha permite que um dispositivo PCIe (Peripheral Component Interconnect Express) malicioso com capacidade de DMA e acesso físico leia ou modifique a memória do sistema antes que as salvaguardas em nível de sistema operacional sejam estabelecidas.”
Devido à exploração ocorrer antes da inicialização do sistema operacional, não haverá avisos das ferramentas de segurança, nem solicitações de permissão, nem alertas para notificar o usuário.
Amplo impacto confirmado
O Carnegie Mellon CERT/CC confirmou que a vulnerabilidade afeta alguns modelos de placas-mãe da ASRock, ASUS, GIGABYTE e MSI, mas produtos de outros fabricantes de hardware também podem ser afetados.
Os modelos específicos afetados de cada fabricante estão listados nos boletins de segurança e nas atualizações de firmware dos respectivos fabricantes ( ASUS , MSI , Gigabyte , ASRock ).
Recomenda-se aos usuários que verifiquem se há atualizações de firmware disponíveis e as instalem após fazerem backup de dados importantes.
A Riot Games atualizou o Vanguard, seu sistema anti-cheat em nível de kernel que oferece proteção contra bots e scripts em jogos como Valorant e League of Legends.
Caso um sistema seja afetado pela vulnerabilidade UEFI, o Vannguard bloqueará a inicialização do Valorant e exibirá uma janela pop-up com detalhes sobre os requisitos para iniciar o jogo.
“Nosso sistema VAN:Restriction é a maneira que a Vanguard encontrou de informar que não podemos garantir a integridade do sistema devido aos recursos de segurança desativados”, afirmam os pesquisadores da Riot Games.
