新UEFI漏洞使ASRock、ASUS、GIGABYTE、MSI主板面临早期启动DMA攻击

某些来自ASRock、ASUSTeK Computer、GIGABYTE 和 MSI 等厂商的主板型号受到安全漏洞影响，使其在实现统一可扩展固件接口（

UEFI 和 IOMMU 被设计为提供安全基础，防止外设在操作系统加载前进行未经授权的内存访问，从而确保具备 DMA 能力的设备在系统启动前无法操控或检查系统内存。

该漏洞由 Riot Games 的 Nick Peterson 和 Mohamed Al‑Sharifi 在部分 UEFI 实现中发现，问题出在 DMA 保护状态的差异上。固件虽然报告 DMA 保护已启用，但在关键的启动阶段未配置并启用 IOMMU。

“这种差距使得具备恶意 DMA 能力的 PCIe 设备只要拥有物理接触，就可以在操作系统层面的防护建立之前读取或修改系统内存，”CERT 协调中心（CERT/CC）在咨询报告中表示。

“因此，攻击者可能访问内存中的敏感数据或影响系统的初始状态，破坏启动过程的完整性。”

成功利用该漏洞，物理存在的攻击者能够在受影响系统上启用预启动代码注入，访问或通过 DMA 事务更改系统内存，远早于操作系统内核及其安全功能加载之前。

导致早期启动内存保护失效的漏洞列表如下：

• CVE-2025-14304
  （CVSS 评分：7.0）‑ 影响使用 Intel 500、600、700、800 系列芯片组的 ASRock、ASRock Rack 和 ASRock Industrial 主板的保护机制失效漏洞。
• CVE-2025-11901
  （CVSS 评分：7.0）‑ 影响使用 Intel Z490、W480、B460、H410、Z590、B560、H510、Z690、B660、W680、Z790、B760、W790 系列芯片组的 ASUS 主板的保护机制失效漏洞。
• CVE-2025-14302
  （CVSS 评分：7.0）‑ 影响使用 Intel Z890、W880、Q870、B860、H810、Z790、B760、Z690、Q670、B660、H610、W790 系列以及 AMD X870E、X870、B850、B840、X670、B650、A620、A620A、TRX50 系列芯片组的 GIGABYTE 主板的保护机制失效漏洞（TRX50 的修复计划于 2026 年第一季度推出）。
• CVE-2025-14303
  （CVSS 评分：7.0）‑ 影响使用 Intel 600 和 700 系列芯片组的 MSI 主板的保护机制失效漏洞。

受影响的厂商已发布固件更新，纠正 IOMMU 初始化顺序并在整个启动过程中强制执行 DMA 保护，用户和管理员应尽快应用这些更新，以防御该威胁。

“在物理访问无法完全受控的环境中，及时打补丁并遵循硬件安全最佳实践尤为重要，”CERT/CC 说明。“因为 IOMMU 在虚拟化和云环境中的隔离与信任委托中扮演基础角色，此缺陷凸显了即使在非数据中心系统上，也必须确保固件配置正确。”

更新

Riot Games 在另一篇公告中称，此关键缺陷可用于注入代码，并指出早期启动序列所关联的特权状态可在操作系统激活安全控制之前被操纵。

“该问题允许硬件作弊在主机的安全设置看似已启用的情况下仍能悄无声息地注入代码，”Al‑Sharifi 在

虽然预启动 DMA 保护旨在通过 IOMMU 防止 Rogue DMA 访问系统内存，但该漏洞源于固件错误地向操作系统报告此功能已完全激活，而实际上在早期启动期间未能正确初始化 IOMMU。

“这意味着即使 BIOS 中的‘预启动 DMA 保护’设置显示为已启用，底层硬件实现并未在启动的最初几秒钟内完成 IOMMU 的初始化，”Al‑Sharifi 补充道。“本质上，系统的‘保镖’看似在岗，却实际上在椅子上睡着了。等系统完整加载后，无法 100% 确信未被 DMA 注入破坏完整性的代码。”

这一短暂的利用窗口可能为‘高级硬件作弊’提供入口，以获取提升的特权并在不触发任何警报的情况下潜伏。Riot Games 表示：“通过关闭此预启动漏洞，我们正在中和整类此前无法触及的作弊手段，并显著提高不公平竞争的成本。”

尽管漏洞的阐述侧重游戏领域，但安全风险同样适用于任何利用物理访问注入恶意代码的攻击。