Ciertos modelos de placas base de proveedores como ASRock, ASUSTeK Computer, GIGABYTE y MSI se ven afectados por una vulnerabilidad de seguridad que los deja susceptibles a ataques de acceso directo a memoria (DMA) de arranque temprano en arquitecturas que implementan una interfaz de firmware extensible unificada (UEFI) y una unidad de administración de memoria de entrada-salida (IOMMU).
UEFI e IOMMU están diseñados para imponer una base de seguridad y evitar que los periféricos realicen accesos no autorizados a la memoria, garantizando efectivamente que los dispositivos compatibles con DMA puedan manipular o inspeccionar la memoria del sistema antes de que se cargue el sistema operativo.
La vulnerabilidad, descubierta por Nick Peterson y Mohamed Al-Sharifi de Riot Games en determinadas implementaciones UEFI, tiene que ver con una discrepancia en el estado de protección de DMA. Si bien el firmware indica que la protección DMA está activa, no puede configurar ni habilitar IOMMU durante la fase de inicio crítica.
«Esta brecha permite que un dispositivo malicioso Peripheral Component Interconnect Express (PCIe) con capacidad DMA y acceso físico lea o modifique la memoria del sistema antes de que se establezcan salvaguardas a nivel del sistema operativo», dijo el Centro de Coordinación CERT (CERT/CC) en un aviso.
«Como resultado, los atacantes podrían acceder a datos confidenciales en la memoria o influir en el estado inicial del sistema, socavando así la integridad del proceso de arranque».
La explotación exitosa de la vulnerabilidad podría permitir a un atacante físicamente presente habilitar la inyección de código previo al arranque en los sistemas afectados que ejecutan firmware sin parches y acceder o alterar la memoria del sistema a través de transacciones DMA, mucho antes de que se carguen el kernel del sistema operativo y sus características de seguridad.
Las vulnerabilidades que permiten eludir la protección de la memoria de arranque temprano se enumeran a continuación:
- CVE-2025-14304 (Puntuación CVSS: 7.0): una vulnerabilidad de fallo del mecanismo de protección que afecta a las placas base ASRock, ASRock Rack y ASRock Industrial que utilizan chipsets Intel de las series 500, 600, 700 y 800.
- CVE-2025-11901 (Puntuación CVSS: 7.0) – Una vulnerabilidad de fallo del mecanismo de protección que afecta a las placas base ASUS que utilizan los chipsets de las series Intel Z490, W480, B460, H410, Z590, B560, H510, Z690, B660, W680, Z790, B760 y W790.
- CVE-2025-14302 (Puntuación CVSS: 7.0) – Una vulnerabilidad de fallo del mecanismo de protección que afecta a las placas base de GIGABYTE que utilizan los chipsets de las series Intel Z890, W880, Q870, B860, H810, Z790, B760, Z690, Q670, B660, H610, W790 y AMD X870E, X870, B850, B840. Conjuntos de chips de las series X670, B650, A620, A620A y TRX50 (la solución para TRX50 está prevista para el primer trimestre de 2026)
- CVE-2025-14303 (Puntuación CVSS: 7.0): una vulnerabilidad de fallo del mecanismo de protección que afecta a las placas base MSI que utilizan chipsets Intel de las series 600 y 700.
Dado que los proveedores afectados lanzan actualizaciones de firmware para corregir la secuencia de inicialización de IOMMU y aplicar protecciones DMA durante todo el proceso de arranque, es esencial que los usuarios finales y los administradores las apliquen tan pronto como estén disponibles para mantenerse protegidos contra la amenaza.
«En entornos donde el acceso físico no se puede controlar ni confiar completamente, la aplicación rápida de parches y el cumplimiento de las mejores prácticas de seguridad del hardware son especialmente importantes», dijo CERT/CC. «Debido a que IOMMU también desempeña un papel fundamental en el aislamiento y la delegación de confianza en entornos virtualizados y de nube, esta falla resalta la importancia de garantizar la configuración correcta del firmware incluso en sistemas que no se usan típicamente en centros de datos».
