现代计算机启动过程中的核心安全机制被发现存在重大缺陷,导致系统极易遭受物理攻击,攻击者可彻底绕过操作系统的防御措施。美国计算机应急响应协调中心(CERT/CC)发布的一份新漏洞公告显示,部分UEFI 固件的实现方式未正确初始化关键硬件防护机制,这使得攻击者能够在操作系统加载前,就读取和写入系统内存。
该漏洞影响多家厂商的设备,其中华擎(ASRock)硬件对应的漏洞编号为CVE-2025-14304—— 它将原本用于提升速度的特性:直接内存访问(DMA),变成了任何可物理接触设备的攻击者手中的强力武器。
现代计算机依赖一个名为 ** 输入输出内存管理单元(IOMMU)** 的组件作为 “守门人”,阻止外围设备在未经授权的情况下访问系统内存的敏感区域。但这个新漏洞暴露了一个危险的问题:系统报告的状态与实际运行状态不一致。
报告指出:“尽管固件显示 DMA 保护已激活,但它并未正确初始化 IOMMU”。
这就在 “启动初期(early-boot)” 阶段制造了一个可被利用的窗口期。由于 “守门人” 未正常工作,插入 PCIe 接口的恶意设备(比如被攻陷的网卡,或是专门的攻击工具),可以在操作系统启动自身防护机制之前,肆意读取系统内存中的数据。
对于无法保证物理安全的环境来说,这种 “防护机制失效” 的影响极为严重。
“拥有物理访问权限的恶意 PCIe 设备,可在操作系统防御机制加载前,读取或修改系统内存”。
攻击者可在启动前的阶段注入代码,或是提取机密信息,这种攻击对杀毒软件或操作系统级别的安全控制来说完全不可见。报告警告称,该漏洞 “会泄露敏感数据,还会让使用未打补丁固件的受影响系统,遭遇启动前代码注入攻击”。
尽管漏洞公告显示 “多家厂商受影响”,但重点点名了华擎及其子品牌 ASRockRack、ASRockInd。
华擎主板的具体漏洞编号为 CVE-2025-14304,CVSS 评分为 7.0,这意味着 “未经过身份验证的物理攻击者,可借助支持 DMA 的 PCIe 设备,在操作系统内核及其安全功能加载前,读取和写入任意物理内存”。此外,华硕(CVE-2025-11901)、技嘉(CVE-2025-14302)和微星(CVE-2025-14303)的主板也受该漏洞影响。
安全管理员被要求以对待操作系统补丁的优先级,处理固件更新。
CERT/CC 建议:“由于受影响的厂商众多,且补丁发布时间不同,用户应定期查看厂商信息板块,获取最新的安全公告和固件更新包”。
对于安全要求较高的机构,建议更为严格:“难以控制物理访问权限的环境,应优先完成补丁更新,以降低启动前 DMA 攻击的风险”。
发表评论
您还未登录,请先登录。
登录