Ve zkratce: Objevili jsme závažnou chybu v celé řadě základních desek, které lze zneužít k nepozorovanému vložení kódu. Pokud se to týká vašeho systému, Vanguard vás vyzve v rámci naší služby VAN:Restriction, abyste si aktualizovali firmware základní desky.
Zdravíme, démoni ze žebříčku.
Já jsem Mohamed a někteří mě možná znají jako ItsGamerDoc na X. Tohle je můj první oficiální článek v Riotu. Tým v kuchyni proti podvodům usilovně pracuje na tom, aby podvodníkům rozdával zákazy plnými naběračkami, ale o těchto lahodných zákazech dnes mluvit nechci. Místo toho se chci soustředit na to, co kuchtíme na pozadí: recept na posílení zabezpečení, díky kterému budou podvody DMA... inu... v troubě.
Fajn, těch kuchařských metafor už nechám. Ve velmi dohledné budoucnosti začne Vanguard vynucovat přísnější kontroly zabezpečení při spouštění systému u jistých hráčů.
Ptáte se proč? Inu, v průběhu roku jsme objevili závažnou chybu, která má dopad na řadu moderních základních desek. Tento problém umožnil hardwarovým cheatům potenciálně nepozorovaně vložit kód, i když nastavení zabezpečení u hostitele vypadalo jako zapnuté.
Zde jsou podrobnosti o tom, proč se to dělo, a co je důležitější – co máte dělat, pokud se vás to týká.
Problém „Kdo se načte dřív?“
Abyste pochopili tuto změnu ve vynucení kontroly, musíme si promluvit o tom, jak váš počítač normálně startuje. V okamžiku, kdy se váš počítač zapne, se nachází v tom nejprivilegovanějším stavu: má kompletní, neomezený přístup k celému systému a veškerému připojenému hardwaru. Systém začne načítat a spouštět počáteční firmware (obvykle UEFI), který pak rozjede řetězec inicializace hardwaru, softwaru a zabezpečení. Teprve po tom všem se ovládání konečně přenese na operační systém, což je to, co obvykle považujeme za „počítač“.
Problém, který to vytváří, spočívá v tom, že komponenty, které se v tomto řetězci načítají dříve, mají obvykle vyšší práva a mohou manipulovat s komponenty, které se načítají později. Vývojáři cheatů tohle chápou velmi dobře. Operační systém, na kterém běží vaše hra, se bohužel načítá téměř na konci celého procesu. To znamená, že cheaty se mohou načíst dříve, získat vyšší oprávnění a efektivně se v systému skrýt dřív, než bude mít operační systém či cokoliv, co na něm běží, šanci se bránit.
Naštěstí už existují bezpečností funkce jako Secure Boot, VBS a IOMMU, které pomáhají zajišťovat zabezpečení. A z větší části dokážou tomuto útočnému vektoru efektivně zabránit pod podmínkou, že jsou zapnuté a fungují správně.
Strategie Vanguardu je prostá: vytvořit perimetr kolem kernelu Windows a co nejdříve tak zajistit, že systém nebude ohrožen. Pokud se cheat načte dřív než my, má vyšší šanci se schovat někde, kde ho nedokážeme najít. Vytváří se tím příležitost, aby se cheaty pokusily zůstat ukryté a mohly vyvolávat chaos ve vašich hrách déle, než se nám líbí.
Objev: Spící vyhazovač
Pamatujete, jak jsme se před chvílí bavili o stávajících bezpečnostních funkcích, které odvádějí dobrou práci, pokud fungují? Pojďme si popovídat o jedné z nich: o IOMMU.
Řadu let ta nejefektivnější (a nejdražší) forma podvádění zahrnovala využívání zařízení DMA (přístup k přímé paměti).
Karty DMA jsou hardwarová zařízení, která se zapojí do vašeho počítače a dotýkají se paměti napřímo – obcházejí procesor a Windows. Abychom je zastavili, spoléháme se na hardwarovou funkci jménem IOMMU (vstupně-výstupní jednotka správy paměti). IOMMU si můžete představit jako vyhazovače v rámci RAM. Kontroluje ID každého zařízení, které se snaží získat přístup k paměti, a vyhodí ta, která nejsou na seznamu hostů.
„Pre-Boot DMA Protection“ (Ochrana DMA před spuštěním) je bezpečnostní funkce v biosu/firmwaru mnoha zařízení, která využívá systémy IOMMU k prevenci nepovoleného přístupu DMA k systémové paměti v rané fázi spouštěcí sekvence. Načtenému operačnímu systému to dává určitou jistotu, že systém, na kterém je, se spustil s určitou předvídatelnou integritou. Což je úžasné, tedy teoreticky... Ale také to znamená, že operační systém musí samotné bezpečnostní funkci věřit.
A přesně tohle výzkum týmu Vanguardu odhalil. V některých případech firmware výrobců hardwaru dával operačnímu systému nesprávný signál, že tato funkce je zcela aktivní, i když se ve skutečnosti IOMMU během rané fáze spouštění nespustil správně.
To znamenalo, že i když nastavení „Pre-Boot DMA Protection“ vypadalo v BIOSu jako zapnuté, skrytá hardwarová implementace během nejranějších sekund spouštěcího procesu nespouštěla IOMMU zcela. Jinými slovy to vypadalo, že je „vyhazovač“ systému ve službě, ale ve skutečnosti spal na židli. Takže když se systém zcela načte, nemůže si být 100% jistý, že pomocí DMA nebyl vložen žádný kód, který by narušoval integritu.
Toto krátké období stačí sofistikovanému hardwarovému podvodu, aby se proplížil do systému, vložil do něj kód a ukryl se dřív, než se Vanguard probudí.
Řešení: Jednotná aktualizace
V průběhu roku jsme se podělili o tyto nálezy s hardwarovými partnery a ti byli v rámci této spolupráce úžasní – tento problém potvrdili a vytvořili komplexní aktualizace BIOSu, aby se tato mezera uzavřela.
Nemusíte věřit jen nám – zde se můžete podívat na informace od hlavních výrobců hardwaru:
Asus Security Advisory (CVE-2025-11901)
Gigabyte Security Advisory (CVE-2025-14302)
MSI Security Advisory (CVE-2025-14303)
Asrock Security Advisory (CVE-2025-14304)
Tyto aktualizace zajistí, že když zapnete bezpečnostní funkce, budou aktivní od úplně první milisekundy, kdy se počítač zapne.
Co mám dělat, když se mi toto omezení objeví?
Náš systém VAN:Restriction představuje způsob, jakým vám Vanguard říká, že nemůžeme zaručit integritu systému kvůli popsaným vypnutým bezpečnostním funkcím. Tento krok vám zabrání ve spuštění VALORANTU a vy uvidíte vyskakovací okno s upozorněním, co je nutné zapnout, abyste mohli pokračovat v hraní. Tato omezení platí na úrovni účtu či HWID, když odhalíme podezřelé hardwarové chování či statistické anomálie. K těmto anomáliím dochází kvůli různým faktorům včetně vypnutých bezpečnostních zařízení nebo v tomto případě, nově objevené skulině před spuštěním, která zneplatňuje IOMMU. To, že se vám podobné varování ukáže, ještě nutně neznamená, že vás podezíráme z podvádění – znamená to, že vaše aktuální konfigurace systému je příliš podobná podvodníkům, kteří obcházejí bezpečnostní funkce, aby je Vanguard nedokázal odhalit.
Tato minimální bezpečnostní hranice je pro boj proti podvodníkům klíčová. Pokud se u vás toto omezení projeví, systém vás vyzve, abyste buď řečené funkce zapnuli, nebo si aktualizovali firmware základní desky podle oficiálních pokynů od výrobce, než budete pokračovat v hraní. Podrobnosti o tomto omezení najdete na této stránce podpory.
Navíc zkoumáme možnost, jak tento požadavek vydat pro všechny hráče na nejvyšší úrovni hry (Ascendant a výše), abychom zajistili důvěryhodnou úroveň zabezpečení pro špici žebříčku.
Cíl
Aktualizace BIOSu nejsou tak zajímavé jako pohled na počty zákazů, ale je to nezbytný krok v rámci našeho závodu proti hardwarovým podvodům. Když tuto skulinu před spuštěním zavřeme, neutralizujeme celou třídu dosud nedotknutelných podvodů a výrazně zvýšíme cenu za neférovou hru.
Celé toto martyrium je významný úspěch, nejen pro náš tým proti podvodům, ale pro celý herní průmysl i mimo rámec Riot Games. Kdyby tato chyba unikla pozornosti, zcela by to vynulovalo veškerou stávající detekci DMA a preventivní technologie, která je momentálně na trhu – včetně technologie ostatních herních firem –, jelikož povaha tohoto druhu podvodu běží v privilegované oblasti, ve které systémy proti podvodům obvykle neběží.
Pokud chcete mít náskok a zajistit si ničím nerušený grind, můžete si preventivně aktualizovat základní desku na nejnovější firmware tak, že se podíváte na webové stránky výrobce. Zvýšení celkového zabezpečení v herním průmyslu je naším hlavním cílem už od roku 2021. Zavedení těchto přísných opatření je nyní patrné v celém průmyslu, jak dokazuje například článek Xboxu „Budování důvěryhodné budoucnosti hraní: Jak zabezpečení pohání férovou hru.“ O těchto základech zabezpečení v rámci boje proti podvodům nebudeme smlouvat. Jsme hrdí na to, že jsme průkopníky na poli tohoto bezpečnostního pokroku, a zavazujeme se, že budeme udržovat spravedlivé a důvěryhodné soutěžní prostředí pro všechny.
Vážíme si úsilí, které vkládáte do toho, abyste měli aktualizovaný systém. Děkujeme za to, že udržujete hry spravedlivé a bezpečné pro všechny. Pokud máte nějaké potíže, neváhejte se ozvat podpoře Riotu, která vám poskytne obecné rady nebo vás nasměruje ke zdrojům oficiálních výrobců.
