كشف باحثون أمنيون عن ثغرة خطيرة في برمجيات UEFI الخاصة بعدد من اللوحات الأم من شركات ASUS وGigabyte وMSI وASRock، تتيح تنفيذ هجمات متقدمة قبل إقلاع نظام التشغيل، مستغلة خللًا في تفعيل حماية الذاكرة خلال المراحل الأولى من تشغيل الجهاز، وفقا لـ bleepingcomputer
موضوعات مقترحة
أرقام رسمية للثغرة
وحصلت الثغرة على عدة معرفات أمنية رسمية، من بينها CVE-2025-11901 وCVE-2025-14302 وCVE-2025-14303 وCVE-2025-14304، وذلك بسبب اختلاف طريقة تنفيذ UEFI من شركة لأخرى، وهو ما يعكس اتساع نطاق المشكلة وتعقيدها.
كيف تعمل الثغرة تقنيًا؟
تعتمد الهجمات على استغلال آلية DMA، وهي خاصية عتادية تسمح لأجهزة مثل كروت الشاشة وأجهزة Thunderbolt ووحدات PCIe بالوصول المباشر إلى ذاكرة RAM دون المرور على المعالج.
في الظروف الطبيعية، يفترض أن يتولى نظام IOMMU دور «جدار حماية» بين هذه الأجهزة والذاكرة، عبر تحديد المساحات المسموح بالوصول إليها. إلا أن الخلل المكتشف يتمثل في أن بعض أنظمة UEFI تُظهر أن حماية DMA مفعّلة، بينما يكون IOMMU في الواقع لم يُهيأ أو يُشغّل بشكل صحيح خلال مرحلة الإقلاع المبكر، ما يترك الذاكرة مكشوفة تمامًا.
خطر الهجوم قبل تحميل النظام
تكمن خطورة هذه الثغرة في توقيتها، إذ تحدث قبل تحميل نظام التشغيل، وهي المرحلة التي يكون فيها الجهاز في أعلى مستويات الصلاحيات، مع وصول غير مقيّد إلى جميع مكوناته.
وخلال هذه الفترة، يمكن لجهاز PCIe خبيث موصول فعليًا باللوحة الأم أن يقرأ أو يعدل محتويات الذاكرة بحرية، دون أي تحذيرات أو تنبيهات من برامج الحماية، لأن أنظمة الأمان الخاصة بنظام التشغيل لم تبدأ العمل بعد.
اكتشاف الثغرة من بوابة الألعاب
تم اكتشاف الثغرة بواسطة الباحثين نِك بيترسون ومحمد الشريف من شركة Riot Games، أثناء عملهما على أنظمة الحماية الخاصة بالألعاب.
وأوضح الباحثان أن بعض الأنظمة المصابة تفشل في تشغيل لعبة Valorant، بسبب نظام مكافحة الغش Vanguard الذي يعمل على مستوى النواة ويشترط سلامة بيئة الإقلاع لضمان عدم تحميل أدوات غش قبل تشغيله.
لماذا تمنع Valorant التشغيل؟
بحسب Riot Games، فإن تحميل أي كود خبيث أو أداة غش قبل تشغيل أنظمة الحماية يمنحها فرصة أكبر للاختفاء داخل النظام دون اكتشافها.
وأكدت الشركة أن منع تشغيل اللعبة في هذه الحالة ليس خطأ، بل إجراء أمني مقصود، حيث يظهر تنبيه للمستخدم يوضح أن سلامة النظام لا يمكن ضمانها بسبب تعطيل أو خلل في خصائص الحماية الأساسية.
المخاطر تتجاوز عالم الألعاب
ورغم أن شرح الثغرة جاء من زاوية صناعة الألعاب، فإن الخبراء يحذرون من أن تأثيرها أوسع بكثير.
فالهجوم لا يقتصر على الغش، بل يمكن استغلاله لزرع برمجيات خبيثة، أو التلاعب بنظام التشغيل، أو سرقة بيانات حساسة، وكل ذلك دون ترك آثار واضحة يمكن لبرامج الحماية التقليدية رصدها لاحقًا.
تأكيد رسمي من جهات أمنية
أكد مركز تنسيق الاستجابة للطوارئ الحاسوبية بجامعة كارنيغي ميلون CERT Coordination Center أن الثغرة تؤثر بالفعل على عدد من طرازات اللوحات الأم من الشركات الأربع، مع احتمال تأثر منتجات أخرى من شركات مختلفة.
وأوضح المركز أن الخلل ناتج عن فشل UEFI في تهيئة IOMMU بشكل سليم خلال مرحلة «التسليم المبكر» في تسلسل الإقلاع.
ما الذي يجب على المستخدمين فعله؟
تنصح الشركات والجهات الأمنية المستخدمين بالتحقق الفوري من توفر تحديثات للبرامج الثابتة «Firmware» الخاصة بلوحاتهم الأم، مع ضرورة أخذ نسخة احتياطية من البيانات قبل تثبيت أي تحديث.
كما أعلنت Riot Games عن تحديث نظام Vanguard للتعامل مع هذه الحالات، بحيث يمنع تشغيل الألعاب المتأثرة إلى أن يتم تصحيح الخلل.