Vulnerabilidad crítica a Motherboards Asus, Gygabyte y ASRock. China ataca Windows y en Nigeria detienen plataforma PhaaS
22 de December de 2025Vulnerabilidad crítica en UEFI permite ataques DMA en el arranque de equipos con motherboards ASRock, ASUS, GIGABYTE y MSI
Una nueva vulnerabilidad de alto impacto ha sido identificada en implementaciones UEFI de diversas motherboards comerciales, exponiendo a equipos de fabricantes como ASRock, ASUS, GIGABYTE y MSI a ataques de acceso directo a memoria (DMA) durante las primeras etapas del arranque del sistema.
La falla afecta el proceso de inicialización temprana, antes de que el sistema operativo cargue sus mecanismos de defensa, lo que abre la puerta a compromisos profundos y difíciles de detectar.
Detalles técnicos de la vulnerabilidad
La investigación fue realizada por Nick Peterson y Mohamed Al-Sharifi, miembros del equipo de seguridad de Riot Games, quienes detectaron una implementación defectuosa de las protecciones DMA en ciertos firmwares UEFI.
Aunque el firmware reporta que las defensas contra DMA están habilitadas, en realidad la unidad de gestión de memoria de entrada/salida (IOMMU) no se inicializa correctamente durante el arranque temprano. Como resultado, la memoria del sistema queda expuesta a dispositivos PCIe maliciosos con acceso físico, permitiendo:
-
Lectura arbitraria de memoria
-
Modificación de estructuras críticas
-
Inyección de código antes del arranque del sistema operativo
Este escenario ocurre sin alertas visibles, sin interacción del usuario y sin que el sistema operativo tenga oportunidad de intervenir, lo que incrementa significativamente la gravedad del problema.
Impacto y vulnerabilidades asociadas
La falla afecta sistemas que utilizan UEFI con soporte IOMMU, y ha sido asociada a múltiples identificadores CVE, entre ellos:
-
CVE-2025-11901
-
CVE-2025-0202
-
CVE-2025-14302
-
CVE-2025-14304
Si bien el ataque requiere acceso físico al equipo, su impacto es especialmente relevante en entornos corporativos, centros de datos, laboratorios de desarrollo, instituciones gubernamentales y equipos con información sensible, donde una intrusión de este tipo puede derivar en compromisos persistentes difíciles de erradicar.
GIGABYTE ya ha reconocido el problema y comenzó a publicar avisos de seguridad y actualizaciones de firmware para los modelos afectados. Se espera que otros fabricantes sigan el mismo camino en los próximos días.
Recomendaciones para equipos de TI y seguridad
Ante este escenario, se recomienda a administradores de sistemas y responsables de infraestructura tomar las siguientes medidas de forma prioritaria:
-
Actualizar inmediatamente el firmware UEFI en motherboards afectadas, verificando que el IOMMU se inicialice correctamente desde el arranque temprano.
-
Restringir el acceso físico a los equipos, especialmente en entornos compartidos o de alto valor.
-
Deshabilitar puertos externos innecesarios, como Thunderbolt o ranuras PCIe no utilizadas, que puedan ser explotadas como vector de ataque.
-
Configurar contraseñas en BIOS/UEFI para impedir modificaciones no autorizadas.
-
Monitorear avisos de seguridad de fabricantes y organismos como CERT/CC, en particular el boletín VU#382314, para conocer parches y mitigaciones específicas.
Un recordatorio sobre el riesgo del hardware
Este incidente refuerza una realidad que a menudo se subestima en seguridad informática: las protecciones a nivel de sistema operativo no son suficientes si el firmware y el hardware subyacente están comprometidos. Para equipos de TI, desarrollo y ciberseguridad, el arranque seguro y la correcta configuración de UEFI ya no son opcionales, sino un componente crítico del modelo de defensa.