In breve: abbiamo scoperto una vulnerabilità critica in diverse schede madri che può essere sfruttata per inserire delle linee di codice senza essere rilevati. Se il vostro sistema è interessato, Vanguard vi inviterà ad aggiornare il firmware della scheda madre tramite il servizio VAN:Restriction.

Salve, demoni della classifica.

Mi chiamo Mohamed e forse alcuni di voi mi conoscono come ItsGamerDoc su X. Questo è il mio primo articolo ufficiale per Riot. La cucina dell'anti-cheat ha lavorato sodo per servire mestolate su mestolate di zuppa di ban ai cheater, ma oggi non voglio concentrarmi su questa parte del menu. Voglio invece parlare di ciò che fino a poco tempo fa stava bollendo in pentola: una ricetta per il rafforzamento della sicurezza che rende i cheat DMA... beh, stracotti.

Va bene, basta metafore culinarie. Prossimamente, Vanguard inizierà ad applicare controlli più rigorosi sulla sicurezza di avvio del sistema per alcuni giocatori.

Perché, vi chiederete? Beh, all'inizio di quest'anno abbiamo scoperto una vulnerabilità critica che interessava alcune delle schede madri più moderne. Questo problema consentiva ai cheat al livello hardware di inserire linee di codice senza essere rilevati, anche quando le impostazioni di sicurezza dell'host risultavano abilitate.

Ecco una spiegazione del perché si verifica questa situazione e, soprattutto, cosa fare se ne siete interessati.

Il problema del "chi viene caricato prima?"

Per comprendere questo cambiamento nell'applicazione delle regole, dobbiamo parlare di come si avvia normalmente il vostro computer. Il momento in cui accendete il PC è quello in cui ha il maggior numero di privilegi abilitati: ha accesso completo e senza restrizioni all'intero sistema e a tutto l'hardware collegato. Il sistema inizia a caricare ed eseguire il firmware iniziale (di solito UEFI), che avvia poi una catena di inizializzazione di hardware, software e sicurezza. Solo a questo punto il controllo passa finalmente al sistema operativo, che è ciò che di solito intendiamo quando parliamo di "computer".

Il problema che deriva da questa procedura è che i componenti caricati per primi in questa catena hanno solitamente maggiori privilegi e possono manipolare quelli caricati successivamente. Gli sviluppatori di cheat lo sanno fin troppo bene. Purtroppo, il sistema operativo su cui gira il vostro gioco viene caricato quasi alla fine del processo. Ciò significa che i cheat possono caricarsi prima, ottenere privilegi superiori e nascondersi efficacemente nel sistema prima che il sistema operativo o qualsiasi programma in esecuzione abbia la possibilità di difendersi.

Per fortuna, esistono già funzionalità di sicurezza come Secure Boot, VBS e IOMMU che aiutano a garantire la sicurezza del vostro PC. E, nella maggior parte dei casi, sono efficaci nel prevenire questo vettore di attacco, purché siano attive e funzionino correttamente.

La strategia di Vanguard è semplice: creare un perimetro attorno al kernel di Windows per assicurarci il prima possibile che il sistema non sia stato compromesso. Se un cheat viene caricato prima di Vanguard, ha maggiori possibilità di nascondersi in posti in cui non possiamo trovarlo. In questi casi, i cheat hanno la possibilità di restare nascosti e causare problemi nelle vostre partite più a lungo di quanto riteniamo accettabile.

La scoperta: un buttafuori si è addormentato

Ricordate quando poco fa parlavamo di funzionalità di sicurezza esistenti che sono efficaci a patto che facciano il loro lavoro? Parliamo di una di queste: la IOMMU.

Per anni, la forma di cheating più efficace (e costosa) prevedeva l'uso di dispositivi DMA (Direct Memory Access, ovvero "accesso diretto alla memoria").

Le schede DMA sono dispositivi hardware che si collegano al PC e accedono direttamente alla memoria, aggirando la CPU e Windows. Per fermarle, ci affidiamo a una funzionalità hardware chiamata IOMMU (Input-Output Memory Management Unit, ovvero "unità della gestione di memoria di input-output"). Pensate alla IOMMU come a un buttafuori per la vostra RAM: controlla l'ID di ogni dispositivo che tenta di accedere alla memoria e manda via quelli che non sono nella lista degli invitati.

La "protezione DMA di pre-avvio" è una funzionalità di sicurezza presente nel BIOS/firmware di molti dispositivi che sfrutta la IOMMU del sistema per impedire accessi DMA non autorizzati alla memoria nelle prime fasi della sequenza di avvio. Questa funzionalità offre al sistema operativo un certo grado di sicurezza sul livello di integrità con cui è stato inizializzato il sistema su cui gira. Il che è fantastico, in teoria... Ma significa anche che il sistema operativo deve fidarsi della funzionalità di sicurezza stessa.

Ed è proprio questo aspetto che la ricerca del team di Vanguard ha portato alla luce. In alcuni casi, i firmware dei produttori hardware segnalavano erroneamente al sistema operativo che questa funzionalità fosse completamente attiva, quando in realtà la IOMMU non veniva inizializzata correttamente durante le prime fasi dell'avvio.

Ciò significava che, mentre le impostazioni della "protezione DMA di pre-avvio" apparivano abilitate nel BIOS, l'implementazione hardware alla base del sistema non inizializzava completamente la IOMMU nei primissimi secondi del processo di avvio. In sostanza, il "buttafuori" del sistema sembrava essere in servizio, ma in realtà era addormentato sulla sua sedia. Così, quando il sistema è completamente caricato, non può essere totalmente sicuro che non sia stato inserito del codice in grado di comprometterne l'integrità tramite DMA.

Questa breve finestra è tutto ciò di cui un cheat hardware sofisticato ha bisogno per intrufolarsi nel sistema, inserire del codice e nascondersi prima che Vanguard si attivi.

La soluzione: un aggiornamento unificato

All'inizio di quest'anno, abbiamo condiviso queste scoperte con i nostri partner per l'hardware, che ci hanno offerto uno straordinario livello di collaborazione durante tutto il processo, confermando l'esistenza del problema e sviluppando degli aggiornamenti al BIOS di ampia portata per eliminare questa vulnerabilità. 

A conferma di quanto detto finora, ecco alcuni degli avvisi di sicurezza dei principali produttori di hardware: 

Grazie a questi aggiornamenti, quando abilitate le funzionalità di sicurezza, queste saranno realmente attive fin dal primissimo millisecondo di accensione.

Cosa fare se ricevo una restrizione?

Il nostro sistema VAN:Restriction è il modo in cui Vanguard vi comunica che non possiamo garantire l'integrità del sistema a causa della disattivazione delle funzionalità di sicurezza descritta nell'articolo. Per questo, il sistema vi impedirà di avviare VALORANT e riceverete un messaggio in cui sono indicate le funzionalità da abilitare per continuare a giocare. Queste restrizioni vengono applicate al livello di account o di HWID quando rileviamo dei comportamenti dell'hardware sospetti o anomalie statistiche. Tali anomalie possono verificarsi a causa di diversi fattori, tra cui funzionalità di sicurezza disattivate o, in questo caso, la vulnerabilità di pre-avvio da poco scoperta che rende inutile la IOMMU. Ricevere uno di questi avvisi non vuol dire necessariamente che sospettiamo di avervi sorpreso ad utilizzare dei cheat: significa che la configurazione attuale del vostro sistema è troppo simile a quella dei cheater che aggirano le funzionalità di sicurezza per rendersi non rilevabili da Vanguard. 

Questo livello minimo di sicurezza è essenziale per contrastare i cheater. Se siete soggetti a restrizioni, vi verrà richiesto di abilitare le funzionalità in questione o di aggiornare il firmware della scheda madre seguendo le indicazioni ufficiali del produttore prima di poter giocare. Potete trovare maggiori informazioni sulle restrizioni su questa pagina del Supporto giocatori. 

Inoltre, stiamo valutando di estendere questo requisito a tutti i giocatori ai livelli più alti di gioco (Ascendente e superiori) per garantire una base di sicurezza affidabile ai vertici della classifica.

L'obiettivo

Gli aggiornamenti del BIOS non sono certo entusiasmanti quanto guardare i numeri dei ban, ma si tratta di un passo necessario nella corsa agli armamenti contro i cheat al livello hardware. Eliminando questa vulnerabilità di pre-avvio, neutralizzeremo un'intera classe di cheat precedentemente intoccabili e aumenteremo in modo significativo i costi del gioco scorretto.

Tutta questa vicenda rappresenta un risultato significativo, non solo per il sistema anti-cheat ma per l'intera industria videoludica, che va oltre Riot Games. Se questo problema fosse passato inosservato, avrebbe reso completamente inutili tutte le tecnologie di rilevamento e prevenzione dei cheat DMA attualmente presenti sul mercato, incluse quelle di altre case di sviluppo di videogiochi, a causa della natura di questa specifica categoria di cheat, che gli permette di operare in un ambito in cui i sistemi di anti-cheat in genere non vengono eseguiti.

Se volete portarvi avanti per non essere costretti a interrompere la vostra scalata, potete aggiornare in anticipo il firmware della scheda madre all'ultima versione visitando i siti web dei produttori. Migliorare l'approccio generale alla sicurezza dell'industria videoludica è stato un obiettivo centrale per noi sin dal 2021. L'adozione di queste misure rigorose è ora evidente in tutto il settore, come evidenziato da vari articoli, tra cui quello di Xbox "Costruire un futuro sicuro per i videogiochi: come la sicurezza sostiene il fair play." Questi principi fondamentali di sicurezza sono imprescindibili nella lotta contro i cheat. Siamo orgogliosi di aver aperto la strada a questi progressi in materia di sicurezza e ci impegneremo a mantenere equo e sicuro per tutti il nostro ambiente competitivo.

Sappiamo quanto impegno sia necessario per mantenere il vostro sistema sempre aggiornato e vi ringraziamo di contribuire a mantenere i giochi equi e sicuri per tutti. In caso di problemi, non esitate a contattare il Supporto Riot e vi forniremo indicazioni generali o vi indicheremo dove trovare le risorse ufficiali dei produttori di hardware.