การทำงานของเฟิร์มแวร์ UEFI ในเมนบอร์ดบางรุ่นจาก ASUS, Gigabyte, MSI และ ASRock มีช่องโหว่ต่อการโจมตีแบบ Direct Memory Access (DMA) ซึ่งสามารถหลบเลี่ยงระบบป้องกันหน่วยความจำในช่วงต้นของการบูตเครื่องได้
ช่องโหว่ด้านความปลอดภัยนี้มีหมายเลข CVE หลายรายการ (CVE-2025-11901, CVE-2025‑14302, CVE-2025-14303 และ CVE-2025-14304) เนื่องจากความแตกต่างในการนำไปใช้งานของผู้ผลิตแต่ละราย
DMA คือฟีเจอร์ของฮาร์ดแวร์ที่ช่วยให้อุปกรณ์ต่าง ๆ เช่น การ์ดจอ, อุปกรณ์ Thunderbolt และอุปกรณ์ PCIe สามารถอ่าน และเขียนข้อมูลลงใน RAM ได้โดยตรง โดยไม่ต้องผ่านการประมวลผลของ CPU
IOMMU เปรียบเสมือน Hardware-enforced memory firewall ที่คั่นอยู่ระหว่างอุปกรณ์ต่าง ๆ กับ RAM ทำหน้าที่ควบคุมว่าอุปกรณ์แต่ละตัวสามารถเข้าถึงพื้นที่หน่วยความจำส่วนใดได้บ้าง
ในช่วงต้นของการบูตเครื่อง ขณะที่เฟิร์มแวร์ UEFI กำลังเริ่มทำงาน ระบบ IOMMU จำเป็นต้องเปิดการใช้งานก่อนที่การโจมตีแบบ DMA จะเกิดขึ้นได้ มิเช่นนั้น จะไม่มีระบบป้องกันใด ๆ ที่คอยยับยั้งการอ่านหรือเขียนข้อมูลในหน่วยความจำผ่านการเข้าถึงที่ตัวเครื่องได้
เกม Valorant ไม่สามารถเปิดใช้งานบนระบบที่มีช่องโหว่
ช่องโหว่ดังกล่าวถูกค้นพบโดย Nick Peterson และ Mohamed Al-Sharifi นักวิจัยจาก Riot Games ซึ่งส่งผลให้เฟิร์มแวร์ UEFI แสดงสถานะลวงว่าการป้องกัน DMA ถูกเปิดใช้งานแล้ว ทั้งที่ความจริงตัว IOMMU ยังเริ่มทำงานได้ไม่สมบูรณ์ ทำให้ระบบยังคงมีความเสี่ยงต่อการถูกโจมตี
Peterson และ Al-Sharifi ได้ดำเนินการเปิดเผยช่องโหว่ด้านความปลอดภัยดังกล่าว และได้ทำงานร่วมกับ CERT ไต้หวัน เพื่อประสานงานรับมือ และติดต่อไปยังผู้ผลิตสินค้าที่ได้รับผลกระทบ
นักวิจัยได้อธิบายเพิ่มเติมว่า เมื่อคอมพิวเตอร์ถูกเปิดขึ้นมา ระบบจะอยู่ในสถานะที่มีสิทธิ์สูงที่สุด (Most privileged state) กล่าวคือ มันมีสิทธิ์เข้าถึงระบบทั้งหมด และฮาร์ดแวร์ทุกชิ้นที่เชื่อมต่ออยู่ได้อย่างเต็มที่โดยไม่มีข้อจำกัดใด ๆ
ระบบป้องกันจะเริ่มทำงานได้ก็ต่อเมื่อมีการโหลดเฟิร์มแวร์เริ่มต้น (ซึ่งส่วนใหญ่คือ UEFI) เรียบร้อยแล้ว โดยเฟิร์มแวร์นี้จะทำหน้าที่เตรียมความพร้อมให้กับฮาร์ดแวร์ และซอฟต์แวร์ด้วยวิธีการที่ปลอดภัย ทั้งนี้ ระบบปฏิบัติการหรือ OS ถือเป็นลำดับท้าย ๆ ที่จะถูกโหลดขึ้นมาในขั้นตอนการบูตเครื่อง
สำหรับระบบที่มีช่องโหว่ดังกล่าว เกมบางเกมของค่าย Riot Games เช่นเกมยอดฮิตอย่าง Valorant จะไม่สามารถเปิดเล่นได้ สาเหตุมาจากระบบ Vanguard ที่ทำงานในระดับ Kernel เพื่อป้องกันการโกงเกม
นักวิจัย Riot Games ระบุว่า "หากโปรแกรมโกงเกมโหลดขึ้นมาทำงานก่อน มันก็จะมีโอกาสสูงกว่าในการซ่อนตัวในจุดที่หาไม่เจอ สิ่งนี้เปิดช่องให้โปรแกรมโกงเกมสามารถหลบเลี่ยงการตรวจจับ และสร้างความปั่นป่วนในเกมได้ยาวนานเกินกว่าที่บริษัทจะยอมรับได้"
ถึงแม้ว่านักวิจัยจะอธิบายช่องโหว่นี้ในมุมมองของอุตสาหกรรมเกม ซึ่งเป็นจุดที่โปรแกรมโกงเกมมักถูกโหลดขึ้นมาใช้งานตั้งแต่เนิ่น ๆ แต่ความเสี่ยงด้านความปลอดภัยนี้ยังครอบคลุมไปถึงโค้ดอันตรายที่สามารถบุกรุกเข้าควบคุมระบบปฏิบัติการได้อีกด้วย
การโจมตีรูปแบบนี้จำเป็นต้องมีการเข้าถึงตัวเครื่องก่อน โดยผู้โจมตีต้องเชื่อมต่ออุปกรณ์ PCIe ที่เป็นอันตรายเพื่อทำการโจมตีแบบ DMA ก่อนที่ระบบปฏิบัติการจะเริ่มทำงาน ซึ่งในช่วงเวลานั้น อุปกรณ์แปลกปลอมดังกล่าวจะสามารถอ่าน หรือแก้ไขข้อมูลใน RAM ได้อย่างอิสระ
CERT มหาวิทยาลัย Carnegie Mellon (CERT/CC) ระบุว่า "แม้เฟิร์มแวร์จะแจ้งสถานะว่าระบบป้องกัน DMA ทำงานอยู่ แต่กลับไม่สามารถทำงานได้จริงในการตั้งค่า และเปิดใช้งาน IOMMU อย่างถูกต้องในช่วงการส่งต่อในลำดับการบูตเครื่อง"
"ช่องโหว่ดังกล่าวอาจทำให้อุปกรณ์ PCIe ที่สามารถทำ DMA ได้ และมีการเข้าถึงที่ตัวเครื่องแล้ว สามารถอ่าน หรือแก้ไขหน่วยความจำของระบบได้ ก่อนที่มาตรการป้องกันระดับระบบปฏิบัติการจะเริ่มทำงาน"
เนื่องจากการโจมตีระบบเกิดขึ้นก่อนที่ระบบปฏิบัติการจะบูตเสร็จ จึงทำให้ไม่มีสัญญาณเตือนใด ๆ จากโปรแกรมรักษาความปลอดภัย ไม่มีการแจ้งขออนุญาต และไม่มีการแจ้งเตือนให้ผู้ใช้งานรับทราบเลย
ยืนยันผลกระทบเป็นวงกว้าง
ทาง Carnegie Mellon CERT/CC ได้ยืนยันว่าช่องโหว่ดังกล่าวส่งผลกระทบต่อเมนบอร์ดบางรุ่นของ ASRock, ASUS, GIGABYTE และ MSI แต่ผลิตภัณฑ์จากผู้ผลิตฮาร์ดแวร์รายอื่นก็อาจได้รับผลกระทบด้วยเช่นกัน
สำหรับรายชื่อรุ่นที่ได้รับผลกระทบ สามารถตรวจสอบได้จากประกาศแจ้งเตือนด้านความปลอดภัย และรายการอัปเดตเฟิร์มแวร์ของผู้ผลิตแต่ละราย (ASUS, MSI, Gigabyte, ASRock)
ทั้งนี้ แนะนำให้ผู้ใช้งานตรวจสอบการอัปเดตเฟิร์มแวร์ และทำการติดตั้งให้เรียบร้อย หลังจากสำรองข้อมูลสำคัญแล้ว
Riot Games ได้ทำการอัปเดต Vanguard ซึ่งเป็นระบบป้องกันการโกงเกมระดับ Kernel ที่คอยช่วยป้องกันบอท และชุดคำสั่งอัตโนมัติในเกมอย่าง Valorant และ League of Legends
หากระบบคอมพิวเตอร์ใดได้รับผลกระทบจากช่องโหว่ UEFI ดังกล่าว ตัว Vanguard จะทำการบล็อกไม่ให้เปิดเกม Valorant และจะแสดงหน้าต่างแจ้งเตือนให้ผู้ใช้ทราบถึงรายละเอียด และสิ่งที่ต้องทำเพื่อให้สามารถเข้าเล่นเกมได้
นักวิจัยจาก Riot Games ระบุเพิ่มเติมว่า "ระบบ VAN:Restriction คือวิธีการที่ Vanguard สื่อสารให้คุณทราบว่า บริษัทไม่สามารถการันตีความสมบูรณ์ปลอดภัยของระบบได้ เนื่องจากฟีเจอร์ความปลอดภัยบางอย่างถูกปิดการใช้งานตามที่ระบุไว้"
ที่มา : bleepingcomputer
You must be logged in to post a comment.