Kurz und bündig: Wir haben eine kritische Sicherheitslücke bei verschiedenen Motherboards entdeckt, die für versteckte Code-Injektion missbraucht wurde. Sollte dein System betroffen sein, dann weist dich Vanguard mit einer VAN:Sperre darauf hin, dass du die Firmware deines Motherboards aktualisieren musst.

Seid gegrüßt, Ranglistendämonen!

Ich heiße Mohamed und einige kennen mich bestimmt als ItsGamerDoc auf X. Das ist mein erster offizieller Artikel für Riot. Die Anti-Cheat-Legion war dieses Jahr fleißig und hat einen Cheater nach dem anderen in die Strafkolonie geschickt. Heute will ich aber nicht über das Heer an Cheater-Sperrungen reden. Vielmehr möchte ich etwas beleuchten, was im Hintergrund läuft: Ein Plan für die Durchsetzung von Sicherheitsvorgaben, die Cheatern richtig Beine machen.

Aber genug mit den Metaphern. In sehr naher Zukunft beginnt Vanguard damit, für bestimmte Spieler strengere Sicherheitschecks beim Systemstart durchzusetzen.

Du fragst dich wieso? Tja, dieses Jahr haben wir eine kritische Schwachstelle identifiziert, die verschiedene moderne Motherboards betrifft. Damit konnten Betrüger mit Hardware-Betrugsgeräten potenziell unbemerkt Code einschleusen, auch wenn Sicherheitseinstellungen für den Host aktiviert sind.

Hier ist ein Überblick, was da passiert und, was noch viel wichtiger ist, was du tun musst, wenn du davon betroffen bist.

Die ewige Frage: Wer lädt zuerst?

Damit du die Änderung der Sicherheitsüberprüfung verstehst, müssen wir uns erst einmal ansehen, wie dein Computer normalerweise startet. In dem Moment, in dem dein PC angeschaltet wird, befindet er sich im Zustand mit den meisten Berechtigungen. Er hat kompletten, uneingeschränkten Zugriff auf das ganze System und sämtliche angeschlossene Hardware. Das System beginnt damit, die initiale Firmware (typischerweise UEFI) zu laden und auszuführen. Diese fährt dann mit der Initialisierung der Hardware, Software und Sicherheitsdienste fort. Erst, nachdem das alles erledigt ist, übergibt sie die Steuerung an das Betriebssystem. Das ist es, was wir üblicherweise als „den Computer“ betrachten.

Das Problem ist jetzt, dass Komponenten, die früher geladen werden, mehr Berechtigungen besitzen und Komponenten beeinflussen können, die später geladen werden. Cheat-Entwickler wissen sehr gut darüber Bescheid. Leider wird das Betriebssystem, unter dem dein Spiel läuft, erst ganz am Ende dieses Prozesses geladen. Heißt im Klartext: Cheats können früher geladen werden, haben dadurch mehr Berechtigungen und können sich effektiv im System verstecken, bevor das Betriebssystem oder andere darauf laufende Anwendungen die Möglichkeit bekommen, dagegen vorzugehen.

Zum Glück gibt es Funktionen wie Secure Boot, VBS und die IOMMU, die dabei helfen, für mehr Sicherheit zu sorgen. In der Regel sind sie auch in der Lage, Angriffe aus dieser Richtung zu unterbinden, sofern sie richtig funktionieren.

Die Strategie von Vanguard ist dabei ganz einfach: Erschaffe so früh wie irgend möglich ein Sicherheitsfeld um den Windows-Kernel, um zu gewährleisten, dass das System nicht kompromittiert wurde. Können Cheats laden, bevor unsere Systeme geladen werden, dann ist die Chance größer, dass sie sich erfolgreich verstecken können. So entsteht eine Gelegenheit für Cheats, möglichst lange unentdeckt zu agieren und in deinen Spielen länger, als uns lieb ist, für Frust, Chaos und Ungerechtigkeit zu sorgen.

Die Entdeckung: Ein schlafender Türsteher

Erinnerst du dich noch an die bestehenden Sicherheitsfunktionen, die gute Arbeit leisten, sofern sie richtig funktionieren? Sehen wir uns eine davon mal genauer an: die IOMMU.

Seit vielen Jahren ist die effektivste (aber auch teuerste) Betrugsform der Einsatz von DMA-Geräten (das steht für „Direct Memory Access“ bzw. direkter Speicherzugriff).

DMA-Karten sind Hardwaregeräte, die mit dem PC verbunden werden und direkt auf den Arbeitsspeicher zugreifen. Dabei umgehen sie die CPU und Windows. Um sie aufzuhalten, verlassen wir uns auf die Hardwarekomponente IOMMU (Input-Output Memory Management Unit). Du kannst dir die IOMMU wie einen Türsteher für deinen Arbeitsspeicher vorstellen. Sie überprüft die ID jedes Geräts, das auf den Speicher zugreifen möchte. Wer da nicht auf der Gästeliste steht, kommt hier nicht rein.

„Pre-Boot-DMA-Schutz“ ist eine Sicherheitsfunktion im BIOS/der Firmware vieler Geräte, die die IOMMU-Funktion des Systems nutzen, um früh im Startvorgang stattfindende unzulässige DMA-Zugriffsversuche auf den Systemspeicher zu verhindern. Damit kann das geladene Betriebssystem mit einer gewissen Sicherheit davon ausgehen, dass das System, auf dem es gestartet wird, ein vorhersehbares Maß an Systemintegrität aufweist. In der Theorie ist das großartig … Das heißt allerdings auch, dass das Betriebssystem der Sicherheitsfunktion vertrauen muss.

Genau hier hat das Vanguard-Team etwas Besorgniserregendes entdeckt. In einigen Fällen zeigt die Hersteller-Firmware dem Betriebssystem an, dass die Sicherheitsfunktion vollständig aktiviert war, obwohl sie tatsächlich nicht in der Lage war, die IOMMU während des frühen Startvorgangs richtig zu initialisieren.

Das heißt: Die Einstellung „Pre-Boot-DMA-Schutz“ erscheint im BIOS zwar als aktiviert, aber die zugrunde liegende Hardware-Implementierung konnte die IOMMU während der ersten Sekunden des Startvorgangs nicht vollständig initialisieren. Der Türsteher des Computersystems war also nur zum Schein aktiv, aber in Wirklichkeit schlummerte er auf seinem Posten. Nach Abschluss des ganzen Startvorgangs konnte das System nicht mit Sicherheit sagen, dass kein integritätsbeeinträchtigender Code via DMA eingeschleust wurde.

Dieses kurze Zeitfenster reicht einem ausgefeilten Hardware-Cheat aus, um sich einzuschleichen, Code einzuschleusen und sich gut zu verbergen, bevor Vanguard erwacht.

Die Lösung: eine einheitliche Aktualisierung

Wir haben unsere Erkenntnisse an unsere Hardware-Partner weitergeleitet. Sie waren in der Angelegenheit fantastische Partner und haben das Problem rasch validiert und umfassende BIOS-Aktualisierungen entwickelt, um diese Sicherheitslücke zu schließen. 

Die Früchte unserer Arbeit siehst du in Form der zahlreichen Sicherheitshinweise von großen Hardware-Herstellern: 

Die Aktualisierungen gewährleisten, dass aktivierte Sicherheitsfunktionen auch wirklich ab der allerersten Millisekunde nach dem Anschalten des Geräts aktiv sind.

Das musst du tun, wenn du eine Sperre erhalten hast:

Unser VAN:Sperre-System ist Vanguards Art, dir mitzuteilen, dass wir die Systemintegrität aufgrund der eben erläuterten Sicherheitsschwachstelle nicht garantieren können. Das führt dazu, dass du VALORANT nicht starten kannst. Zudem wird dir ein Hinweis angezeigt, der dir genau erklärt, was du tun musst, damit du wieder spielen kannst. Die Sperre wird auf Konto- oder HWID-Level angewendet, wenn wir verdächtiges Hardware-Verhalten oder statistische Anomalien feststellen. Solche Anomalien können aufgrund verschiedenster Faktoren auftreten, etwa deaktivierten Sicherheitsfunktionen oder in diesem Fall der neu entdeckten Pre-Boot-Sicherheitslücke, die die IOMMU unwirksam macht. Wenn du diese Warnung siehst, heißt das noch nicht, dass wir dich des Betrugs verdächtigen. Es bedeutet lediglich, dass die aktuelle Systemkonfiguration denen von Betrügern sehr ähnlich ist, die versuchen, Sicherheitsfunktionen zu umgehen, damit Vanguard sie nicht entdeckt. 

Dieses Mindestmaß an Sicherheit ist unerlässlich, um Betrügern das Handwerk zu legen. Wurdest du gesperrt, dann wirst du aufgefordert, die besagten Sicherheitsfunktionen zu aktivieren oder die Firmware deines Motherboards zu aktualisieren, indem du den offiziellen Anleitungen der Hersteller folgst. Danach kannst du wieder spielen. Auf dieser Support-Seite erfährst du mehr zu Spielsperren.

Wir überprüfen zudem die Einführung dieser Anforderung für alle Spieler auf den höchsten Spielniveaus (Aufgestiegen und höher), um ein vertrauenswürdiges Sicherheitsmindestmaß für die Spitze der Rangliste zu gewährleisten.

Das Ziel

BIOS-Aktualisierungen sind sicherlich nicht so aufregend wie die gewohnten Bann-Zahlen, aber sie sind ein notwendiger Schachzug in unserem andauernden Kampf gegen Hardware-Betrugsmethoden. Diese geschlossene Sicherheitslücke neutralisiert eine ganze Klasse von bislang unentdeckten Cheats und erhöht die Kosten für betrügerisches Spielen enorm.

Die ganze Plackerei war jedoch ein Riesenerfolg. Nicht nur für unsere Anti-Cheat-Bemühungen, sondern weit über Riot Games hinaus für die ganze Spieleindustrie. Wäre das Problem unentdeckt geblieben, dann würde das alle verfügbaren Lösungen zur DMA-Erkennung und -Verhinderung komplett unbrauchbar machen. Das betrifft nicht nur uns, sondern auch andere Spieleentwickler. Der Grund dafür liegt in der Art, wie die Cheats in einem privilegierten Bereich ausgeführt werden, in den Anti-Cheat-Software üblicherweise nicht reinkommt.

Wenn du nicht möchtest, dass dein Spielvergnügen jäh unterbrochen wird, dann kannst du selbst aktiv werden und die Firmware deines Motherboards aktualisieren. Besuche dazu die Webseite deines Motherboard-Herstellers. Die Verbesserung der Sicherheitslage in der Spieleindustrie ist für uns seit 2021 eine Herzensangelegenheit.Die Umsetzung dieser strengen Maßnahmen zeigt in der ganzen Branche Wirkung. Das beweisen Artikel wie der von Xbox mit dem Titel „Für eine vertrauenswürdige Gaming-Zukunft: Wie Sicherheit für Fairplay sorgt“. Diese Sicherheitsgrundlagen sind unerlässlich im Kampf gegen Betrugsversuche. Wir sind stolz darauf, diese Sicherheitsverbesserung angestoßen zu haben, und wir arbeiten weiter ohne Unterlass daran, ein faires und vertrauenswürdiges Umfeld für wettkampforientiertes Spielen für alle zu schaffen.

Wir wissen, wie schwierig es sein kann, einen Computer immer auf dem neuesten Stand zu halten. Daher bedanken wir uns herzlich für deine Mithilfe, um Spiele für alle fairer und sicherer zu machen. Melde dich bei Fragen oder Problemen gerne beim Riot-Spieler-Support. Wir können dir allgemeine Hilfestellungen bieten oder dich zu offiziellen Hersteller-Ressourcen weiterleiten