ช่องโหว่ใหม่ใน UEFI หลอกระบบว่าปลอดภัย เปิดช่องโจมตีก่อนบูตเครื่อง สะเทือนเมนบอร์ดดัง ASUS, Gigabyte, MSI และ ASRock
ในโลกพีซีที่ทุกอย่างเริ่มต้นจากเฟิร์มแวร์ UEFI ก่อนระบบปฏิบัติการจะลุกขึ้นมาทำงาน ความปลอดภัยใน “ช่วงวินาทีแรก” ของการบูตเครื่องเป็นจุดชี้เป็นชี้ตายของทั้งระบบ ล่าสุดมีการเปิดเผยช่องโหว่ชุดใหม่ในเฟิร์มแวร์ UEFI ของเมนบอร์ดยี่ห้อใหญ่ทั้ง ASUS, Gigabyte, MSI และ ASRock ที่เปิดโอกาสให้โจมตีหน่วยความจำผ่าน Direct Memory Access (DMA) ได้ก่อนที่กลไกป้องกันระดับฮาร์ดแวร์จะเริ่มทำงาน ทั้งที่เฟิร์มแวร์รายงานสถานะว่าการป้องกันถูกเปิดใช้งานแล้ว ช่องโหว่นี้ได้รับหมายเลข CVE หลายรายการ ได้แก่ CVE-2025-11901, CVE-2025‑14302, CVE-2025-14303 และ CVE-2025-14304 สะท้อนให้เห็นว่าปัญหาเกิดจากรายละเอียดการติดตั้งที่แตกต่างกันของผู้ผลิตแต่ละราย
แกะกลไกช่องโหว่ UEFI: DMA ทำงาน แต่ IOMMU ยังไม่ตื่น
หัวใจของปัญหานี้อยู่ที่การทำงานร่วมกันระหว่าง DMA และ IOMMU ในช่วงต้นของการบูตเครื่อง DMA คือความสามารถของอุปกรณ์ฮาร์ดแวร์ เช่น การ์ดจอ อุปกรณ์ Thunderbolt หรืออุปกรณ์ PCIe ในการอ่านและเขียนข้อมูลลง RAM ได้โดยไม่ต้องผ่านซีพียู ทำให้ประมวลผลได้รวดเร็วแต่ก็เสี่ยงมากหากไม่มีการควบคุม หน้าที่จัดระเบียบและจำกัดสิทธิ์ของ DMA จึงตกเป็นของ IOMMU ซึ่งเปรียบเสมือน “ไฟร์วอลล์ของหน่วยความจำ” คอยกำหนดว่าอุปกรณ์ใดเข้าถึงพื้นที่ใดของ RAM ได้บ้าง
ตามหลักแล้ว ในช่วงเริ่มบูต UEFI จะต้องทำให้ IOMMU พร้อมใช้งานก่อน เพื่อปิดโอกาสการอ่านหรือเขียนหน่วยความจำแบบไร้การควบคุมจากอุปกรณ์ที่เชื่อมต่ออยู่ แต่ในกรณีช่องโหว่ชุดนี้ เฟิร์มแวร์ UEFI กลับรายงานสถานะว่าการป้องกัน DMA ถูกเปิดใช้งานแล้ว ทั้งที่จริง IOMMU ยังไม่ได้ถูกตั้งค่าอย่างถูกต้องในช่วง early hand-off ของกระบวนการบูต ช่องว่างโหว่นี้เองที่ทำให้หากมีอุปกรณ์ PCIe ที่ถูกดัดแปลงเสียบอยู่ ผู้โจมตีสามารถใช้มันอ่านหรือแก้ไขข้อมูลใน RAM ได้ก่อนที่ระบบปฏิบัติการและเครื่องมือความปลอดภัยระดับซอฟต์แวร์จะเริ่มต้น
นักวิจัยจาก Riot Games อย่าง Nick Peterson และ Mohamed Al-Sharifi เป็นผู้ค้นพบช่องโหว่นี้ โดยอธิบายว่าทันทีที่เปิดเครื่อง ระบบอยู่ในสถานะที่ทรงสิทธิ์ที่สุด มีสิทธิ์เข้าถึงทุกส่วนของฮาร์ดแวร์และซอฟต์แวร์อย่างไร้ข้อจำกัด กลไกการป้องกันต่างๆ จะเริ่มถูกติดตั้งทีละชั้นตั้งแต่เฟิร์มแวร์ UEFI ไปจนถึงระบบปฏิบัติการ ซึ่งมักเป็นหนึ่งในองค์ประกอบท้ายๆ ที่โหลดขึ้นมา นั่นหมายความว่า ใครก็ตามที่ “แทรกตัว” เข้าไปได้ก่อน UEFI จะตั้งค่าความปลอดภัยครบ และก่อน OS จะบูต ก็มีโอกาสวางโค้ดอันตรายลงในหน่วยความจำอย่างแนบเนียนโดยไม่มีการแจ้งเตือนจากระบบใดๆ
Carnegie Mellon CERT/CC ระบุในคำแนะนำด้านความปลอดภัยว่า ปัญหานี้เกิดจากเฟิร์มแวร์ยืนยันการเปิดใช้ DMA protection ทั้งที่ไม่ได้เปิดใช้งานและตั้งค่า IOMMU อย่างเหมาะสมในช่วงต้นของการบูต ทำให้หากมีอุปกรณ์ PCIe ที่รองรับ DMA และมีผู้โจมตีเข้าถึงเครื่องได้ทางกายภาพ อุปกรณ์นั้นสามารถอ่านหรือแก้ไขหน่วยความจำระบบได้ก่อนที่มาตรการป้องกันระดับ OS จะเริ่มปกป้อง จุดสำคัญคือ การโจมตีเกิดก่อนบูต OS ทำให้ไม่มีกล่องแจ้งเตือน สิทธิ์ขออนุญาต หรือสัญญาณเตือนใดๆ ให้ผู้ใช้สงสัย
แม้ช่องโหว่นี้จะต้องอาศัยการเข้าถึงตัวเครื่องจริงและอุปกรณ์ PCIe ที่เตรียมไว้ จึงดูเหมือนจะเป็นโจมตีแบบเฉพาะทาง แต่สำหรับเป้าหมายที่มีมูลค่าสูง เช่น เครื่องของนักพัฒนา บุคลากรด้านความมั่นคง หรือองค์กรที่มีข้อมูลสำคัญ ช่องว่างช่วง pre-boot ลักษณะนี้ถือเป็นโอกาสทองของผู้โจมตีระดับ advanced ที่ต้องการเข้าไปฝังโค้ดลึกในระบบโดยไม่ถูกค้นพบ
จากโลกเกมสู่ความปลอดภัยระบบ: เมื่อ Vanguard ไม่ยอมให้ Valorant บูตบนเครื่องที่เสี่ยง
แม้การค้นพบช่องโหว่นี้จะมาจากมุมมองของอุตสาหกรรมเกม แต่นัยยะของมันล้ำไปไกลกว่าการป้องกันโปรแกรมโกงอย่างมาก ฝั่ง Riot Games นำประเด็นนี้มาอธิบายผ่านระบบ Vanguard ซึ่งเป็นแอนตี้ชีตระดับเคอร์เนลที่ใช้กับเกมอย่าง Valorant และ League of Legends โดยชี้ว่าหากโปรแกรมโกงสามารถโหลดตัวเองขึ้นมาทำงานก่อน Vanguard มันก็จะมีโอกาสซ่อนตัวจากการตรวจจับได้ดีกว่า เพื่อปิดโอกาสกลุ่มนี้ Riot จึงเลือกทำสิ่งที่ผู้ใช้บางส่วนอาจไม่ชอบนัก นั่นคือ “ไม่ให้เกมเริ่มทำงานเลย” บนระบบที่ตรวจพบว่าไม่มีการตั้งค่าความปลอดภัยระดับเฟิร์มแวร์อย่างที่ควรจะเป็น
ในระบบที่ได้รับผลกระทบจากช่องโหว่ UEFI ครั้งนี้ Vanguard เวอร์ชันใหม่จะบล็อกไม่ให้ Valorant เริ่มทำงาน พร้อมแสดงหน้าต่างแจ้งเตือนผู้ใช้ถึงสาเหตุและสิ่งที่ต้องทำ เช่น อัปเดตเฟิร์มแวร์หรือปรับตั้งค่าที่จำเป็น Riot อธิบายผ่านระบบที่เรียกว่า VAN:Restriction ว่านี่คือวิธีที่ Vanguard ใช้สื่อสารกับผู้เล่นว่า “ไม่สามารถรับประกันความสมบูรณ์ของระบบได้ เนื่องจากฟีเจอร์ด้านความปลอดภัยสำคัญถูกปิดหรือทำงานไม่สมบูรณ์”
แม้จะมีเสียงวิจารณ์ว่าการบังคับให้ผู้ใช้ต้องอัปเดต BIOS/UEFI เพื่อเล่นเกมอาจดูเกินเหตุ โดยเฉพาะอย่างยิ่งในกรณีที่การโจมตีจำเป็นต้องมีการเข้าถึงเครื่องแบบ physical และอุปกรณ์พิเศษ แต่ในทางกลับกัน สำหรับมุมมองของความปลอดภัยภาพใหญ่ นี่คือการยกระดับบรรทัดฐานใหม่ที่ผลักให้ผู้ใช้และผู้ผลิตต้องให้ความสำคัญกับ “ความปลอดภัยตั้งแต่เฟิร์มแวร์” ไม่ใช่แค่พึ่งพาแอนติไวรัสในระบบปฏิบัติการ
Carnegie Mellon CERT/CC ยืนยันว่าช่องโหว่นี้กระทบเมนบอร์ดหลายรุ่นของ ASRock, ASUS, Gigabyte และ MSI และมีความเป็นไปได้ที่ผู้ผลิตรายอื่นจะได้รับผลกระทบด้วย แต่ยังอยู่ระหว่างการตรวจสอบ รุ่นที่ได้รับผลกระทบโดยละเอียดถูกระบุไว้ในบูลเลตินด้านความปลอดภัยและเฟิร์มแวร์อัปเดตจากแต่ละผู้ผลิต ซึ่งผู้ใช้ควรเข้าไปตรวจสอบด้วยตนเอง คำแนะนำหลักคือสำรองข้อมูลสำคัญให้เรียบร้อย จากนั้นอัปเดตเฟิร์มแวร์ของเมนบอร์ดให้เป็นเวอร์ชันล่าสุด เพื่อลดความเสี่ยงจากช่องโหว่ในระดับที่แม้แต่ระบบปฏิบัติการก็ไม่อาจช่วยปิดได้
ในทางปฏิบัติ ผู้ใช้ทั่วไปอาจรู้สึกว่าปัญหานี้ไกลตัว เพราะต้องมีการเข้าถึงเครื่องจริงและใช้อุปกรณ์เฉพาะทางจึงจะโจมตีได้ อย่างไรก็ตาม สำหรับแอดมินระบบ ผู้ให้บริการดาต้าเซ็นเตอร์ หรือองค์กรที่ต้องปกป้องข้อมูลและความน่าเชื่อถือของระบบในระยะยาว ช่องโหว่ลักษณะนี้คือสัญญาณเตือนชัดเจนว่า “ความปลอดภัยเริ่มตั้งแต่ก่อนที่โลโก้ OS จะโผล่ขึ้นมาบนจอ” และเฟิร์มแวร์ UEFI ที่อัปเดตอยู่เสมอไม่ใช่แค่เรื่องเสถียรภาพ แต่คือแนวป้องกันด่านหน้าของทั้งโครงสร้างพื้นฐานดิจิทัล