Selon Security Affairs, des chercheurs de Riot Games ont révélé une vulnérabilité UEFI affectant certains modèles de cartes mères ASRock, ASUS, GIGABYTE et MSI, confirmée par un avis du CERT/CC, qui permet des attaques DMA en phase très précoce du démarrage malgré des protections censées actives.

Le problème réside dans une mauvaise initialisation de l’IOMMU au démarrage: le firmware déclare à tort que la protection DMA est active alors que l’IOMMU n’est pas correctement activée. Cette fenêtre permet à un périphérique PCIe malveillant ayant un accès physique de lire/modifier la mémoire avant le chargement des défenses de l’OS, ouvrant la voie à une injection de code pré-boot et à l’exposition de données sensibles.

Les fournisseurs concernés — ASRock, ASUS, GIGABYTE, MSI — ont confirmé l’impact sur certains modèles et publié des avis accompagnés de mises à jour firmware pour corriger l’initialisation de l’IOMMU et restaurer les protections DMA. Le CERT/CC souligne aussi l’importance de cette configuration correcte dans les environnements virtualisés et cloud, où l’IOMMU est un mécanisme fondamental d’isolation et de délégation de confiance.

CVE et portée (CVSS 7.0):

  • CVE-2025-11901 (ASUS): sur certaines cartes mères à chipsets Intel B/H/Z/W, vulnérabilité causant une utilisation non contrôlée des ressources, augmentant le risque DMA.
  • CVE-2025-14302 (GIGABYTE): défaillance du mécanisme de protection due à une configuration IOMMU incorrecte permettant un accès mémoire avant l’OS via un périphérique PCIe DMA.
  • CVE-2025-14303 (MSI): défaillance du mécanisme de protection similaire, avec accès mémoire pré-OS via PCIe DMA.
  • CVE-2025-14304 (ASRock/ASRockRack/ASRockInd): défaillance du mécanisme de protection permettant l’accès mémoire pré-OS via PCIe DMA.

TTPs observés:

  • Attaques DMA en phase early-boot via périphériques PCIe nécessitant accès physique.
  • Contournement de l’IOMMU dû à une initialisation incorrecte déclarée comme active par le firmware.
  • Lecture/modification de la mémoire avant les protections de l’OS.
  • Injection de code pré-boot altérant l’intégrité du processus de démarrage.

IOCs: aucun indicateur technique (IoC) n’est fourni dans l’article.

Il s’agit d’un article de presse spécialisé présentant une vulnérabilité et listant les CVE associées, visant principalement à informer sur l’impact, les produits concernés et la disponibilité de correctifs.

🔗 Source originale : https://securityaffairs.com/185867/security/asrock-asus-gigabyte-msi-boards-vulnerable-to-pre-boot-memory-attacks.html