Một số mẫu bo mạch chủ từ các nhà cung cấp như ASRock, ASUSTeK Computer, GIGABYTE và MSI đang bị ảnh hưởng bởi một lỗ hổng bảo mật, khiến chúng dễ bị tấn công truy cập bộ nhớ trực tiếp (DMA) giai đoạn khởi động sớm trên các kiến trúc triển khai Unified Extensible Firmware Interface (UEFI) và input–output memory management unit (IOMMU).
UEFI và IOMMU được thiết kế để tăng cường nền tảng bảo mật và ngăn chặn các thiết bị ngoại vi thực hiện truy cập bộ nhớ trái phép, đảm bảo hiệu quả rằng các thiết bị hỗ trợ DMA có thể thao túng hoặc kiểm tra bộ nhớ hệ thống trước khi hệ điều hành được tải.
Lỗ hổng này, được Nick Peterson và Mohamed Al-Sharifi từ Riot Games phát hiện trong một số triển khai UEFI, liên quan đến sự không nhất quán trong trạng thái bảo vệ DMA. Mặc dù firmware cho biết tính năng bảo vệ DMA đang hoạt động, nhưng nó lại không cấu hình và bật IOMMU trong giai đoạn khởi động quan trọng.
"Khoảng trống này cho phép một thiết bị Peripheral Component Interconnect Express (PCIe) độc hại có khả năng DMA và có quyền truy cập vật lý đọc hoặc sửa đổi bộ nhớ hệ thống trước khi các biện pháp bảo vệ cấp hệ điều hành được thiết lập," CERT Coordination Center (CERT/CC) cho biết trong một bản tư vấn.
"Kết quả là, những kẻ tấn công có thể truy cập dữ liệu nhạy cảm trong bộ nhớ hoặc ảnh hưởng đến trạng thái ban đầu của hệ thống, từ đó làm suy yếu tính toàn vẹn của quá trình khởi động."
Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công có quyền truy cập vật lý thực hiện tiêm mã pre-boot trên các hệ thống bị ảnh hưởng đang chạy firmware chưa được vá lỗi và truy cập hoặc thay đổi bộ nhớ hệ thống thông qua các giao dịch DMA, rất lâu trước khi nhân hệ điều hành và các tính năng bảo mật của nó được tải.
Các lỗ hổng cho phép bỏ qua tính năng bảo vệ bộ nhớ giai đoạn khởi động sớm được liệt kê dưới đây -
- CVE-2025-14304 (CVSS score: 7.0) - Một lỗ hổng cơ chế bảo vệ bị lỗi ảnh hưởng đến các bo mạch chủ ASRock, ASRock Rack và ASRock Industrial sử dụng chipset Intel 500, 600, 700 và 800 series
- CVE-2025-11901 (CVSS score: 7.0) - Một lỗ hổng cơ chế bảo vệ bị lỗi ảnh hưởng đến các bo mạch chủ ASUS sử dụng chipset Intel Z490, W480, B460, H410, Z590, B560, H510, Z690, B660, W680, Z790, B760 và W790 series
- CVE-2025-14302 (CVSS score: 7.0) - Một lỗ hổng cơ chế bảo vệ bị lỗi ảnh hưởng đến các bo mạch chủ GIGABYTE sử dụng chipset Intel Z890, W880, Q870, B860, H810, Z790, B760, Z690, Q670, B660, H610, W790 series, và chipset AMD X870E, X870, B850, B840, X670, B650, A620, A620A và TRX50 series (Bản vá cho TRX50 dự kiến vào Quý 1 năm 2026)
- CVE-2025-14303 (CVSS score: 7.0) - Một lỗ hổng cơ chế bảo vệ bị lỗi ảnh hưởng đến các bo mạch chủ MSI sử dụng chipset Intel 600 và 700 series
Với việc các nhà cung cấp bị ảnh hưởng đang phát hành các bản cập nhật firmware để sửa lỗi trình tự khởi tạo IOMMU và tăng cường bảo vệ DMA trong suốt quá trình khởi động, điều cần thiết là người dùng cuối và quản trị viên phải áp dụng chúng ngay khi có sẵn để được bảo vệ khỏi mối đe dọa.
"Trong những môi trường mà quyền truy cập vật lý không thể được kiểm soát hoàn toàn hoặc không thể tin cậy, việc vá lỗi kịp thời và tuân thủ các phương pháp bảo mật phần cứng tốt nhất là đặc biệt quan trọng," CERT/CC cho biết. "Bởi vì IOMMU cũng đóng vai trò nền tảng trong việc cách ly và ủy quyền tin cậy trong các môi trường ảo hóa và điện toán đám mây, lỗ hổng này nhấn mạnh tầm quan trọng của việc đảm bảo cấu hình firmware chính xác ngay cả trên các hệ thống không thường được sử dụng trong các trung tâm dữ liệu."
