Celah UEFI Baru Memungkinkan Serangan Pra-Boot pada Motherboard Gigabyte, MSI, ASUS, dan ASRock

Sebuah celah keamanan baru pada implementasi firmware UEFI ditemukan memengaruhi sejumlah motherboard dari produsen besar seperti ASUS, Gigabyte, MSI, dan ASRock. Kerentanan ini memungkinkan terjadinya serangan direct memory access (DMA) pada fase pra-boot, sehingga penyerang dapat melewati mekanisme perlindungan memori yang seharusnya aktif sejak awal proses booting.

Masalah keamanan tersebut tercatat dengan beberapa pengenal kerentanan, yakni CVE-2025-11901, CVE-2025-14302, CVE-2025-14303, dan CVE-2025-14304. Banyaknya CVE diberikan karena perbedaan implementasi firmware UEFI di masing-masing vendor motherboard.

DMA sendiri merupakan fitur perangkat keras yang memungkinkan komponen seperti kartu grafis, perangkat Thunderbolt, atau perangkat PCIe lainnya untuk membaca dan menulis data langsung ke RAM tanpa melalui prosesor. Untuk mencegah penyalahgunaan, sistem modern mengandalkan IOMMU, sebuah mekanisme firewall memori berbasis perangkat keras yang mengatur area memori mana saja yang boleh diakses oleh setiap perangkat.

Dalam kondisi normal, IOMMU harus aktif sejak tahap awal booting ketika firmware UEFI mulai menginisialisasi sistem. Namun, pada sistem yang terdampak, firmware UEFI dilaporkan menampilkan status perlindungan DMA sebagai aktif meskipun IOMMU sebenarnya gagal diinisialisasi dengan benar. Akibatnya, sistem tetap terbuka terhadap serangan DMA selama fase awal boot.

Kerentanan ini pertama kali ditemukan oleh peneliti Riot Games, Nick Peterson dan Mohamed Al-Sharifi. Keduanya mengungkapkan temuan tersebut secara bertanggung jawab dan bekerja sama dengan CERT Taiwan untuk mengoordinasikan respons serta menghubungi vendor yang terdampak. Menurut mereka, saat komputer pertama kali dinyalakan, sistem berada dalam kondisi paling istimewa dengan akses penuh ke seluruh perangkat keras yang terhubung. Perlindungan keamanan baru benar-benar aktif setelah firmware awal selesai dimuat dan sistem operasi mulai berjalan.

Dampak dari celah ini tidak hanya bersifat teoretis. Pada sistem yang rentan, beberapa gim Riot Games, termasuk Valorant, tidak dapat dijalankan. Hal ini disebabkan oleh sistem anti-cheat Vanguard yang beroperasi di level kernel dan menolak berjalan jika integritas sistem tidak dapat dijamin. Riot Games menjelaskan bahwa jika kode berbahaya atau cheat berhasil dimuat lebih awal dari mekanisme perlindungan mereka, maka ancaman tersebut berpotensi bersembunyi dan sulit terdeteksi.

Meski awalnya dijelaskan dari sudut pandang industri gim, risiko keamanan dari celah UEFI ini jauh lebih luas. Serangan membutuhkan akses fisik, di mana perangkat PCIe berbahaya harus terhubung ke sistem sebelum sistem operasi dimulai. Dalam rentang waktu tersebut, perangkat tersebut dapat membaca atau memodifikasi isi RAM tanpa hambatan, tanpa peringatan dari perangkat lunak keamanan, tanpa notifikasi, dan tanpa persetujuan pengguna.

Carnegie Mellon CERT Coordination Center mengonfirmasi bahwa kerentanan ini berdampak pada sejumlah model motherboard dari ASRock, ASUS, Gigabyte, dan MSI. Bahkan, tidak menutup kemungkinan produk dari produsen lain juga terpengaruh. Daftar model yang terdampak telah disertakan dalam buletin keamanan dan pembaruan firmware yang dirilis masing-masing vendor.

Pengguna disarankan untuk segera memeriksa ketersediaan pembaruan firmware UEFI untuk motherboard yang digunakan dan melakukan pembaruan setelah mencadangkan data penting. Di sisi lain, Riot Games telah memperbarui sistem Vanguard. Jika sistem terdeteksi masih rentan, Vanguard akan memblokir peluncuran Valorant dan menampilkan pemberitahuan yang menjelaskan bahwa integritas sistem tidak dapat dijamin akibat fitur keamanan yang tidak aktif.