Bepaalde moederbordmodellen van leveranciers als ASRock, ASUSTeK Computer, GIGABYTE en MSI worden getroffen door een beveiligingsprobleem waardoor ze vatbaar zijn voor early-boot Direct Memory Access (DMA)-aanvallen op architecturen die een Unified Extensible Firmware Interface (UEFI) en input-output memory management unit (IOMMU) implementeren.
UEFI en IOMMU zijn ontworpen om een beveiligingsfundament af te dwingen en te voorkomen dat randapparatuur ongeautoriseerde geheugentoegang uitvoert, waardoor er effectief voor wordt gezorgd dat DMA-compatibele apparaten het systeemgeheugen kunnen manipuleren of inspecteren voordat het besturingssysteem wordt geladen.
De kwetsbaarheid, ontdekt door Nick Peterson en Mohamed Al-Sharifi van Riot Games in bepaalde UEFI-implementaties, heeft te maken met een discrepantie in de DMA-beschermingsstatus. Hoewel de firmware aangeeft dat DMA-bescherming actief is, slaagt deze er niet in de IOMMU te configureren en in te schakelen tijdens de kritieke opstartfase.
“Deze kloof maakt het mogelijk dat een kwaadaardig DMA-compatibel Peripheral Component Interconnect Express (PCIe)-apparaat met fysieke toegang het systeemgeheugen kan lezen of wijzigen voordat er beveiliging op besturingssysteemniveau wordt ingesteld”, aldus het CERT Coördinatiecentrum (CERT/CC) in een advies.
“Als gevolg hiervan kunnen aanvallers mogelijk toegang krijgen tot gevoelige gegevens in het geheugen of de initiële status van het systeem beïnvloeden, waardoor de integriteit van het opstartproces wordt ondermijnd.”
Succesvol misbruik van het beveiligingslek zou een fysiek aanwezige aanvaller in staat kunnen stellen pre-boot code-injectie mogelijk te maken op getroffen systemen waarop niet-gepatchte firmware draait en toegang te krijgen tot het systeemgeheugen of deze te wijzigen via DMA-transacties, lang voordat de kernel van het besturingssysteem en de beveiligingsfuncties ervan zijn geladen.
Hieronder vindt u de kwetsbaarheden die een omzeiling van de bescherming van het early-boot-geheugen mogelijk maken:
- CVE-2025-14304 (CVSS-score: 7.0) – Een kwetsbaarheid voor falen van het beveiligingsmechanisme die ASRock, ASRock Rack en ASRock Industrial moederborden treft die Intel 500, 600, 700 en 800 serie chipsets gebruiken
- CVE-2025-11901 (CVSS-score: 7.0) – Een kwetsbaarheid voor falen van het beveiligingsmechanisme die ASUS-moederborden treft die Intel Z490-, W480-, B460-, H410-, Z590-, B560-, H510-, Z690-, B660-, W680-, Z790-, B760- en W790-serie chipsets gebruiken
- CVE-2025-14302 (CVSS-score: 7.0) – Een beveiligingsmechanisme dat GIGABYTE-moederborden treft met Intel Z890, W880, Q870, B860, H810, Z790, B760, Z690, Q670, B660, H610, W790-serie chipsets en AMD X870E, X870, B850, B840, Chipsets uit de X670-, B650-, A620-, A620A- en TRX50-serie (oplossing voor TRX50 gepland voor Q1 2026)
- CVE-2025-14303 (CVSS-score: 7,0) – Een kwetsbaarheid voor het falen van het beveiligingsmechanisme die MSI-moederborden treft die chipsets uit de Intel 600- en 700-serie gebruiken
Nu getroffen leveranciers firmware-updates vrijgeven om de IOMMU-initialisatievolgorde te corrigeren en DMA-beveiligingen af te dwingen tijdens het opstartproces, is het essentieel dat eindgebruikers en beheerders deze toepassen zodra ze beschikbaar zijn om beschermd te blijven tegen de dreiging.
“In omgevingen waar fysieke toegang niet volledig kan worden gecontroleerd of waarop niet volledig kan worden vertrouwd, zijn snelle patches en het naleven van best practices op het gebied van hardwarebeveiliging bijzonder belangrijk”, aldus CERT/CC. “Omdat de IOMMU ook een fundamentele rol speelt bij isolatie en vertrouwensdelegatie in gevirtualiseerde en cloudomgevingen, benadrukt deze fout het belang van het garanderen van correcte firmwareconfiguratie, zelfs op systemen die doorgaans niet in datacenters worden gebruikt.”
