Ciertos modelos de placas base de proveedores como ASRock, ASUSTeK
Computer, GIGABYTE y MSI se ven afectados por una vulnerabilidad de seguridad
que los deja susceptibles a ataques de acceso directo a memoria (DMA) de arranque temprano en arquitecturas que implementan una interfaz de
firmware extensible unificada (UEFI) y una unidad de administración de memoria de entrada-salida (IOMMU).
UEFI e IOMMU están diseñados para imponer una base de seguridad y evitar que
los periféricos realicen accesos no autorizados a la memoria, garantizando
efectivamente que los dispositivos compatibles con DMA puedan manipular o
inspeccionar la memoria del sistema antes de que se cargue el sistema
operativo.
La vulnerabilidad, descubierta por Nick Peterson y Mohamed Al-Sharifi de Riot
Games en determinadas implementaciones UEFI, tiene que ver con una
discrepancia en el estado de protección de DMA. Si bien el firmware indica que
la protección DMA está activa, no puede configurar ni habilitar IOMMU durante
la fase de inicio crítica.
«Esta brecha permite que un dispositivo malicioso Peripheral Component
Interconnect Express (PCIe) con capacidad DMA y acceso físico lea o
modifique la memoria del sistema antes de que se establezcan salvaguardas a
nivel del sistema operativo», dijo el Centro de Coordinación CERT (CERT/CC) en un
aviso.
«Como resultado, los atacantes podrían acceder a datos confidenciales en la
memoria o influir en el estado inicial del sistema, socavando así la
integridad del proceso de arranque».
La explotación exitosa de la vulnerabilidad podría permitir a un atacante
físicamente presente habilitar la inyección de código previo al arranque en
los sistemas afectados que ejecutan firmware sin parches y acceder o alterar
la memoria del sistema a través de transacciones DMA, mucho antes de que se
carguen el kernel del sistema operativo y sus características de seguridad.
Las vulnerabilidades que permiten eludir la protección de la memoria de
arranque temprano se son las siguientes:
CVE-2025-14304
(CVSS 7.0) afecta a ASRock;
CVE-2025-11901
(CVSS 7.0) afecta a ASUS;
CVE-2025-14302
(CVSS 7.0) afecta a GIGABYTE;
CVE-2025-14303
(CVSS 7.0) afecta a MSI.
Dado que los proveedores afectados lanzan actualizaciones de firmware para
corregir la secuencia de inicialización de IOMMU y aplicar protecciones DMA
durante todo el proceso de arranque, es esencial que los usuarios finales y
los administradores las apliquen tan pronto como estén disponibles para
mantenerse protegidos contra la amenaza.
«En entornos donde el acceso físico no se puede controlar ni confiar
completamente, la aplicación rápida de parches y el cumplimiento de las
mejores prácticas de seguridad del hardware son especialmente
importantes», dijo CERT/CC.
«Debido a que IOMMU también desempeña un papel fundamental en el
aislamiento y la delegación de confianza en entornos virtualizados y de
nube, esta falla resalta la importancia de garantizar la configuración
correcta del firmware incluso en sistemas que no se usan típicamente en
centros de datos».
Fuente:
THN