Algunos modelos de placas base de proveedores como ASRock, ASUSTek Computer, GIGABYTE y MSI se ven afectados por una vulnerabilidad de seguridad que los hace vulnerables al acceso directo a la memoria desde el arranque anticipado ( DMA ) ataques en arquitecturas que implementan una interfaz de firmware extensible unificada ( UEFI ) y una unidad de administración de memoria de entrada-salida ( IOMMU ).
UEFI e IOMMU están diseñados para reforzar una base de seguridad y evitar que los periféricos realicen accesos no autorizados a la memoria, lo que garantiza de manera efectiva que los dispositivos compatibles con DMA puedan manipular o inspeccionar la memoria del sistema antes de que se cargue el sistema operativo.
La vulnerabilidad, descubierta por Nick Peterson y Mohamed Al-Sharifi de Riot Games en ciertas implementaciones de UEFI, tiene que ver con una discrepancia en el estado de protección de la DMA. Si bien el firmware indica que la protección DMA está activa, no puede configurar ni habilitar la IOMMU durante la fase crítica de arranque.
«Esta brecha permite que un dispositivo malintencionado de interconexión de componentes periféricos (PCIe) compatible con DMA y con acceso físico lea o modifique la memoria del sistema antes de que se establezcan las medidas de seguridad a nivel del sistema operativo», dijo el Centro de Coordinación del CERT (CERT/CC) dijo en un aviso.
«Como resultado, los atacantes podrían acceder a datos confidenciales de la memoria o influir en el estado inicial del sistema, lo que socavaría la integridad del proceso de arranque».
La explotación satisfactoria de la vulnerabilidad podría permitir a un atacante físicamente presente habilitar la inyección de código antes del arranque en los sistemas afectados que ejecutan un firmware sin parches y acceder a la memoria del sistema o modificarla mediante transacciones de DMA, mucho antes de que se carguen el núcleo del sistema operativo y sus funciones de seguridad.
Las vulnerabilidades que permiten eludir la protección de la memoria de arranque temprano se enumeran a continuación:
- CVE-2025-14304 (Puntuación CVSS: 7.0): una vulnerabilidad de fallo del mecanismo de protección que afecta a las placas base ASRock, ASRock Rack y ASRock Industrial que utilizan los chipsets Intel de las series 500, 600, 700 y 800
- CVE-2025-11901 (Puntuación CVSS: 7.0): una vulnerabilidad de fallo en el mecanismo de protección que afecta a las placas base ASUS que utilizan los conjuntos de chips de las series Intel Z490, W480, B460, H410, Z590, B560, H510, Z690, B660, W680, Z790, B760 y W790
- CVE-2025-14302 (Puntuación CVSS: 7.0): una vulnerabilidad de fallo en el mecanismo de protección que afecta a las placas base GIGABYTE que utilizan los conjuntos de chips Intel de las series Z890, W880, Q870, B860, H810, Z790, B760, Z690, Q670, B660, H610, W790 y AMD X870E, X870, B850, B840, X670, B650, A620, A620A y TRXXConjuntos de chips de la serie 50 (la solución para el TRX50 está prevista para el primer trimestre de 2026)
- CVE-2025-14303 (Puntuación CVSS: 7.0): una vulnerabilidad de fallo del mecanismo de protección que afecta a las placas base MSI que utilizan los conjuntos de chips Intel de las series 600 y 700
Dado que los proveedores afectados publican actualizaciones de firmware para corregir la secuencia de inicialización de IOMMU y aplicar las protecciones de DMA durante todo el proceso de arranque, es fundamental que los usuarios finales y los administradores las apliquen tan pronto como estén disponibles para mantenerse protegidos contra la amenaza.
«En entornos en los que el acceso físico no se puede controlar por completo ni se puede confiar en él, la pronta aplicación de parches y el cumplimiento de las mejores prácticas de seguridad del hardware son especialmente importantes», afirma CERT/CC. «Dado que el IOMMU también desempeña un papel fundamental en el aislamiento y la delegación de confianza en entornos virtualizados y en la nube, este defecto pone de relieve la importancia de garantizar una configuración correcta del firmware, incluso en sistemas que no se utilizan normalmente en los centros de datos».