Imagen Principal

Una vulnerabilidad de seguridad ha sido identificada en modelos específicos de placas base de fabricantes líderes como ASRock, ASUSTeK Computer, GIGABYTE y MSI. Esta falla deja a los sistemas susceptibles a ataques de Acceso Directo a Memoria (DMA) durante la fase de arranque temprano, afectando arquitecturas que implementan la Interfaz de Firmware Extensible Unificada (UEFI) y la Unidad de Gestión de Memoria de Entrada/Salida (IOMMU).

Fallo en la Protección de DMA de Arranque Temprano

La vulnerabilidad, descubierta por Nick Peterson y Mohamed Al-Sharifi de Riot Games, reside en la implementación del firmware UEFI. Aunque el IOMMU y UEFI están diseñados para evitar accesos no autorizados a la memoria por parte de periféricos, la falla surge de una discrepancia: el firmware indica que la protección DMA está activa, pero no logra configurar ni habilitar el IOMMU correctamente durante la fase crítica de arranque.

Esta brecha permite que un dispositivo PCIe (Peripheral Component Interconnect Express) malicioso, con acceso físico al sistema, pueda leer o modificar la memoria del sistema antes de que se establezcan las salvaguardas a nivel del sistema operativo. Los atacantes podrían así acceder a datos sensibles en memoria o alterar el estado inicial del sistema, comprometiendo la integridad del proceso de arranque.

El Riesgo de Inyección de Código Pre-arranque

La explotación exitosa de esta vulnerabilidad permite a un atacante con presencia física inyectar código pre-arranque en sistemas con firmware sin parches. Esto es posible porque la ventana de explotación se produce antes de que el kernel del sistema operativo y sus funciones de seguridad se carguen.

Riot Games, en su análisis, describió la falla como un problema de “Sleeping Bouncer” (Gorila Durmiente). Aunque la configuración de “Pre-Boot DMA Protection” aparece habilitada en la BIOS, la implementación de hardware no inicializa completamente el IOMMU durante los primeros segundos del arranque. Esto significa que un atacante puede inyectar código sin ser detectado antes de que el sistema cargue las defensas.

Vulnerabilidades Específicas y Modelos Afectados

La vulnerabilidad se manifiesta en múltiples CVEs que afectan a diferentes fabricantes y chipsets. Todas las vulnerabilidades tienen una puntuación CVSS de 7.0 (Alta).

  • CVE-2025-14304 (ASRock): Afecta a placas base ASRock, ASRock Rack y ASRock Industrial que utilizan chipsets Intel de las series 500, 600, 700 y 800.
  • CVE-2025-11901 (ASUS): Afecta a placas base ASUS con chipsets Intel Z490, W480, B460, H410, Z590, B560, H510, Z690, B660, W680, Z790, B760 y W790.
  • CVE-2025-14302 (GIGABYTE): Afecta a placas base GIGABYTE con chipsets Intel Z890, W880, Q870, B860, H810, Z790, B760, Z690, Q670, B660, H610, W790, y chipsets AMD X870E, X870, B850, B840, X670, B650, A620, A620A y TRX50 (con corrección para TRX50 prevista para el primer trimestre de 2026).
  • CVE-2025-14303 (MSI): Afecta a placas base MSI que utilizan chipsets Intel de las series 600 y 700.

Recomendaciones y Mitigación

Ante la disponibilidad de actualizaciones de firmware por parte de los fabricantes, es crucial que los usuarios y administradores las apliquen de inmediato. Estas actualizaciones corrigen la secuencia de inicialización del IOMMU para garantizar que las protecciones DMA estén activas durante todo el proceso de arranque.

El CERT Coordination Center (CERT/CC) subraya la importancia de la aplicación de parches y de las mejores prácticas de seguridad de hardware en entornos donde el acceso físico no puede controlarse por completo. Aunque la vulnerabilidad ha sido destacada en el contexto del sector de los videojuegos, su riesgo se extiende a cualquier ataque que pueda abusar del acceso físico para inyectar código malicioso, incluyendo entornos virtualizados y en la nube donde el IOMMU desempeña un papel fundamental en el aislamiento.

Referencias