Pesquisadores de segurança da Riot Games, em colaboração com especialistas da comunidade de firmware, identificaram uma falha na UEFI que afeta placas-mãe de grandes fabricantes e permite ataques de acesso direto à memória, conhecidos como ataques DMA. O problema foi posteriormente reforçado por um alerta do CERT/CC, aumentando o nível de preocupação em ambientes domésticos e corporativos. Diferentemente de vulnerabilidades comuns em sistemas operacionais, essa falha ocorre antes mesmo do Linux, Windows ou qualquer outro sistema iniciar, o que amplia significativamente o impacto potencial. Por estar localizada no firmware, a vulnerabilidade de firmware pode ser explorada sem depender de permissões no sistema, tornando a atualização de BIOS um fator crítico de mitigação.
O que é o ataque DMA e o papel do IOMMU
Um ataque DMA explora o acesso direto que determinados dispositivos de hardware têm à memória RAM do sistema. Interfaces como PCI Express, Thunderbolt e controladores internos podem ler ou escrever dados diretamente na memória sem a intermediação do processador. Em condições normais, esse mecanismo existe para garantir alto desempenho, especialmente em placas de vídeo, controladoras de rede e dispositivos de armazenamento de alta velocidade. O problema surge quando um dispositivo malicioso ou comprometido consegue explorar esse acesso privilegiado.
O IOMMU atua como uma camada de proteção, funcionando como um firewall de memória que restringe quais regiões da RAM cada dispositivo pode acessar. Na falha identificada, a configuração inadequada ou ausente do IOMMU na UEFI permite que um atacante contorne essas restrições logo na inicialização. Isso possibilita a leitura de dados sensíveis, a injeção de código malicioso e até a persistência de ameaças em nível de firmware, caracterizando uma grave vulnerabilidade de firmware.
Lista de marcas e chipsets afetados
A investigação revelou que o problema não está restrito a um único fabricante, mas sim a uma implementação compartilhada em diversos firmwares. A seguir, veja como o impacto se distribui entre as marcas mais populares.
ASRock
Placas-mãe ASRock com chipsets Intel série 600 e 700 e AMD série 500 e 600 foram apontadas como vulneráveis quando utilizam versões antigas de UEFI. As falhas estão associadas a CVEs relacionadas à configuração incorreta do IOMMU e à ausência de validações durante o boot seguro, permitindo ataque DMA antes do carregamento do sistema.
ASUS
No caso da ASUS, modelos baseados nos chipsets Intel Z690, Z790, B660 e AMD X570, B550, X670 aparecem na lista de risco. As CVEs divulgadas indicam que a falha na UEFI permite acesso indevido à memória durante a fase DXE do boot. Para usuários de Linux e administradores de sistemas, o risco é elevado em máquinas que utilizam virtualização ou lidam com dados sensíveis.
GIGABYTE
A GIGABYTE confirmou impacto em placas com chipsets Intel série 500, 600 e 700, além de plataformas AMD AM4 e AM5. As vulnerabilidades mapeadas envolvem a inicialização de dispositivos PCIe sem o isolamento correto de memória, abrindo caminho para ataques DMA físicos ou internos. A empresa já iniciou a liberação de atualização de BIOS para parte dos modelos.
MSI
Em placas MSI, os chipsets Intel Z590, Z690, Z790 e AMD B550, X570, X670 são os mais citados. As CVEs relacionadas destacam falhas de validação no firmware que desativam proteções do IOMMU por padrão. Isso afeta especialmente estações de trabalho, servidores domésticos e PCs gamers que utilizam múltiplos dispositivos de alto desempenho.
Como se proteger e mitigar o risco
A principal forma de mitigação é realizar imediatamente a atualização de BIOS disponibilizada pelo fabricante da placa-mãe. As correções ajustam a configuração do IOMMU e reforçam as validações de dispositivos durante o processo de boot, reduzindo drasticamente a superfície de ataque. É fundamental baixar o firmware apenas dos sites oficiais de ASUS, GIGABYTE, MSI e ASRock, evitando fontes não confiáveis.
Além disso, o controle de acesso físico ao hardware é essencial. Ataques DMA geralmente exigem algum nível de acesso direto à máquina, seja por meio de portas externas ou dispositivos internos. Em ambientes corporativos e servidores, recomenda-se desativar interfaces não utilizadas, aplicar lacres físicos e monitorar alterações de hardware. Usuários de Linux também devem verificar se o IOMMU está habilitado no kernel e corretamente configurado, complementando a proteção fornecida pela UEFI.
Conclusão e impacto
A descoberta dessa falha na UEFI reforça que a segurança moderna vai muito além do sistema operacional. Em um cenário onde ataques se tornam cada vez mais sofisticados, proteger o firmware é tão importante quanto manter o sistema atualizado. Para gamers, entusiastas de hardware e administradores de sistemas, a mensagem é clara: ignorar uma vulnerabilidade de firmware pode comprometer todo o ambiente, independentemente do software utilizado. Manter a atualização de BIOS em dia e adotar boas práticas de segurança física e lógica é hoje uma necessidade, não uma opção.
