یک نقص تازه در پیادهسازی فریمور UEFI باعث شده تعدادی از مادربردهای پرطرفدار بازار در برابر حملات «دسترسی مستقیم به حافظه» یا همان DMA در معرض خطر قرار بگیرند؛ حملاتی که در سناریوهای جدی میتوانند به دسترسی ماندگار، افشای کلیدهای رمزنگاری و لو رفتن اطلاعات ورود منجر شوند.
UEFI همان نرمافزار سطحپایینی است که روی مادربرد قرار دارد و قبل از بالا آمدن سیستمعامل، سختافزار را راهاندازی میکند و فرآیند بوت امن را شکل میدهد. یکی از وظایف مهم UEFI این است که لایه ایزولیشن IOMMU را درست مقداردهی اولیه و فعال کند؛ لایهای سختافزاری که قرار است مثل یک «فایروال حافظه» بین رم سیستم و دستگاههایی بایستد که میتوانند بدون دخالت CPU، مستقیم به حافظه بخوانند/بنویسند.
این دستگاههای DMA معمولاً شامل کارتهای PCIe، تجهیزات Thunderbolt، برخی ابزارهای توسعه، و حتی قطعاتی مثل GPU در برخی مسیرهای دسترسی هستند. وقتی IOMMU درست راه افتاده باشد، حتی اگر یک دستگاه مخرب متصل شود، اجازه خواندن یا نوشتن دلخواه روی حافظه را پیدا نمیکند. مشکل اینجاست که در مادربردهای آسیبپذیر، همهچیز فقط «در ظاهر» امن به نظر میرسد.
مشکل از کجاست؟ وقتی سیستم فکر میکند محافظ روشن است
طبق هشدار پژوهشگران، در برخی مادربردها فریمور UEFI به سیستم اعلام میکند محافظت DMA فعال است، در حالی که IOMMU عملاً بهدرستی مقداردهی نشده و هنوز هیچ قانون محدودکنندهای اعمال نمیکند. نتیجه؟ سیستمعامل و ابزارهای امنیتی تصور میکنند دیوار دفاعی بالا رفته، اما در واقع درِ حافظه هنوز میتواند باز باشد.
از آنجا که هر سازنده این قابلیت را با جزئیات متفاوتی پیادهسازی کرده، این باگ تحت چند شناسه CVE جداگانه دنبال میشود: CVE-2025-11901، CVE-2025-14302، CVE-2025-14303 و CVE-2025-14304. گزارشها نشان میدهد برخی مدلهای مادربرد از برندهای ASUS، Gigabyte، MSI و ASRock در دامنه اثر این مشکل قرار دارند.
رد پای Riot Games و Vanguard؛ کشف از دل ضدتقلب
جالب است که این نقص ابتدا توسط پژوهشگران Riot Games شناسایی شد؛ همان شرکتی که بازیهایی مثل League of Legends و Valorant را ساخته است. Riot ابزار ضدتقلبی به نام Vanguard دارد که در سطح کرنل کار میکند و هدفش جلوگیری از تقلبها و دستکاریهای عمیق سیستم است.
در سیستمهای آسیبپذیر، Vanguard بهجای ریسک کردن، اجرای بازی را متوقف میکند؛ به همین دلیل گزارش شده که روی برخی دستگاهها، Valorant اصلاً بالا نمیآید. این رفتار شاید برای کاربر آزاردهنده باشد، اما از نگاه امنیتی یک علامت مهم است: «اگر محافظت DMA واقعاً فعال نباشد، ریسک دستکاری قبل از بوت بالاست».
در بدترین سناریو، حمله DMA میتواند به مهاجم اجازه دهد قبل از بالا آمدن سیستمعامل، به حافظه دسترسی بگیرد؛ جایی که امکان مشاهده یا استخراج دادههای حساس (مثل کلیدهای رمزنگاری یا برخی اعتبارنامهها) مطرح میشود. ماندگاری هم مسئله دیگری است: اگر مهاجم بتواند چیزی را در سطح پایین دستکاری کند، پاکسازی آن همیشه ساده نیست.
آیا باید نگران باشید؟ یک شرط مهم وجود دارد
با وجود لحن ترسناک ماجرا، یک نکته تعیینکننده وجود دارد: برای اجرای حمله DMA معمولاً باید یک دستگاه PCIe (یا ابزار سختافزاری مشابه) قبل از بالا آمدن سیستمعامل به سیستم متصل شود. یعنی این نقص بیشتر در سناریوهای دسترسی فیزیکی، مراکز داده، محیطهای سازمانی، یا سیستمهایی که در معرض اتصال تجهیزات ناشناس هستند جدی میشود.
با این حال اگر از مادربردهای برندهای گفتهشده استفاده میکنید—خصوصاً اگر سیستمتان در محیط عمومی یا مشترک قرار دارد—بهتر است همین حالا صفحه پشتیبانی مادربرد را بررسی کنید و در صورت انتشار آپدیت، فریمور UEFI/BIOS را بهروز کنید. در چنین رخدادهایی، بهروزرسانی فریمور معمولاً اصلیترین مسیر کاهش ریسک است.
- مدل دقیق مادربرد و نسخه فعلی BIOS/UEFI را بررسی کنید.
- یادداشتهای انتشار (Changelog) آپدیتهای جدید را بخوانید؛ ممکن است به IOMMU/DMA Protection اشاره شده باشد.
- از اتصال تجهیزات PCIe/Thunderbolt ناشناس، مخصوصاً قبل از بوت، پرهیز کنید.
