ช่องโหว่ DMA ในเฟิร์มแวร์ UEFI ทำให้การป้องกันหน่วยความจำช่วง early boot ล้มเหลว เปิดโอกาสโจมตีด้วยอุปกรณ์ PCIe ก่อนระบบปฏิบัติการเริ่มทำงาน และส่งผลให้เกมอย่าง Valorant ไม่สามารถเปิดได้บนบางระบบ
มีการเปิดเผยช่องโหว่ความปลอดภัยใหม่ในเฟิร์มแวร์ UEFI ของเมนบอร์ดบางรุ่นจาก ASUS, Gigabyte, MSI และ ASRock ซึ่งทำให้ระบบตกอยู่ในความเสี่ยงจากการโจมตีแบบ pre-boot ผ่านกลไก Direct Memory Access (DMA) โดยช่องโหว่นี้ได้รับการระบุเป็นหลายหมายเลข CVE ได้แก่ CVE-2025-11901, CVE-2025-14302, CVE-2025-14303 และ CVE-2025-14304 เนื่องจากความแตกต่างของการนำไปใช้ในแต่ละผู้ผลิต
DMA เป็นความสามารถของฮาร์ดแวร์ที่อนุญาตให้อุปกรณ์ เช่น การ์ดจอ อุปกรณ์ Thunderbolt หรืออุปกรณ์ PCIe สามารถอ่านและเขียนข้อมูลลงในหน่วยความจำหลัก (RAM) ได้โดยตรงโดยไม่ผ่าน CPU ขณะที่ IOMMU ทำหน้าที่เป็นเหมือนไฟร์วอลล์หน่วยความจำ ควบคุมว่าอุปกรณ์ใดสามารถเข้าถึงพื้นที่หน่วยความจำใดได้บ้าง
ปัญหานี้เกิดขึ้นในช่วง early boot ระหว่างที่ UEFI เริ่มต้นการทำงาน ซึ่งเป็นช่วงที่ IOMMU ควรถูกเปิดใช้งานก่อนเพื่อป้องกันการโจมตีแบบ DMA อย่างไรก็ตาม ในระบบที่มีช่องโหว่ เฟิร์มแวร์จะแสดงว่าการป้องกัน DMA เปิดใช้งานแล้ว ทั้งที่ IOMMU ไม่ได้ถูกตั้งค่าและเปิดทำงานอย่างถูกต้อง ส่งผลให้ไม่มีการป้องกันจริงในช่วงเวลาสำคัญนี้
ช่องโหว่ดังกล่าวถูกค้นพบโดยนักวิจัยจาก Riot Games ได้แก่ Nick Peterson และ Mohamed Al-Sharifi ซึ่งได้รายงานปัญหาอย่างรับผิดชอบ และทำงานร่วมกับ CERT Taiwan เพื่อประสานงานกับผู้ผลิตฮาร์ดแวร์ที่ได้รับผลกระทบ นักวิจัยอธิบายว่าเมื่อเปิดเครื่อง ระบบจะอยู่ในสถานะที่มีสิทธิ์สูงสุดและสามารถเข้าถึงฮาร์ดแวร์ทั้งหมดได้อย่างไร้ข้อจำกัด การป้องกันต่าง ๆ จะเริ่มทำงานก็ต่อเมื่อเฟิร์มแวร์ UEFI โหลดและตั้งค่าระบบเสร็จ ก่อนที่ระบบปฏิบัติการจะเริ่มทำงานในลำดับสุดท้าย
ในระบบที่ได้รับผลกระทบ เกมของ Riot Games บางรายการ เช่น Valorant จะไม่สามารถเปิดใช้งานได้ เนื่องจากระบบป้องกันโกง Vanguard ซึ่งทำงานในระดับเคอร์เนล ตรวจพบว่าสภาพแวดล้อมของระบบไม่สามารถรับประกันความสมบูรณ์ได้ Riot Games ระบุว่า หากมีโค้ดโกงถูกโหลดขึ้นมาก่อนระบบป้องกัน จะเพิ่มโอกาสในการหลบเลี่ยงการตรวจจับและสร้างความเสียหายในเกม
แม้ตัวอย่างจะถูกยกมาจากมุมมองของอุตสาหกรรมเกม แต่ความเสี่ยงที่แท้จริงครอบคลุมไปถึงมัลแวร์ที่สามารถฝังตัวในระบบก่อนระบบปฏิบัติการเริ่มทำงาน การโจมตีลักษณะนี้ต้องอาศัยการเข้าถึงเครื่องโดยตรง โดยเชื่อมต่ออุปกรณ์ PCIe ที่เป็นอันตรายเข้ากับระบบก่อนบูต ซึ่งในช่วงเวลานั้นอุปกรณ์สามารถอ่านหรือแก้ไขหน่วยความจำได้อย่างอิสระโดยไม่มีการแจ้งเตือนใด ๆ จากเครื่องมือความปลอดภัย
Carnegie Mellon CERT Coordination Center (CERT/CC) ยืนยันว่าช่องโหว่นี้ส่งผลกระทบต่อเมนบอร์ดบางรุ่นจาก ASRock, ASUS, Gigabyte และ MSI และไม่ตัดความเป็นไปได้ที่ผลิตภัณฑ์จากผู้ผลิตรายอื่นอาจได้รับผลกระทบเช่นกัน โดยรุ่นที่ได้รับผลกระทบอย่างชัดเจนถูกระบุไว้ในประกาศด้านความปลอดภัยและอัปเดตเฟิร์มแวร์จากผู้ผลิตแต่ละราย
ผู้ใช้งานได้รับคำแนะนำให้ตรวจสอบและติดตั้งอัปเดตเฟิร์มแวร์ล่าสุดจากผู้ผลิตเมนบอร์ด หลังจากสำรองข้อมูลสำคัญเรียบร้อยแล้ว ขณะเดียวกัน Riot Games ได้อัปเดต Vanguard เพื่อบล็อกการเปิดเกมบนระบบที่ตรวจพบว่ามีความเสี่ยง และจะแสดงข้อความแจ้งเตือนเพื่ออธิบายเหตุผลว่าทำไมไม่สามารถรับประกันความปลอดภัยของระบบได้
ที่มา: BleepingComputer
Leave a Reply