Resumo: identificamos uma falha crítica em diversos modelos de placas-mãe que pode ser explorada para a injeção não detectada de código. Se o seu sistema for afetado, o Vanguard vai enviar uma notificação com o serviço VAN:Restriction para atualizar o firmware da sua placa-mãe.

Saudações, demônio da ranqueada.

Meu nome é Mohamed, e algumas pessoas talvez me conheçam como ItsGamerDoc no X. Este é meu primeiro artigo oficial na Riot. A galera do anticheat anda trabalhando bastante, mas hoje não quero focar nos deliciosos banimentos que estão sendo servidos. Em vez disso, quero falar do que está sendo preparado nos bastidores: uma aplicação de segurança que deixa os dispositivos DMA… fritos.

Tá bom, chega de metáforas culinárias. Em um futuro próximo, o Vanguard começará a aplicar verificações mais rigorosas na segurança da inicialização do sistema para certos jogadores.

Mas por quê?Bom, no início deste ano, descobrimos uma falha crítica que afeta diversas placas-mãe modernas. Esse problema permitia que cheats de hardware injetassem código sem serem detectados, mesmo quando as configurações de segurança do sistema pareciam estar habilitadas.
Aqui está a explicação de porquê isso está acontecendo e, mais importante, o que fazer se o problema afetou você.

O problema de "quem carrega primeiro"?

Para entender essa mudança na aplicação de segurança, precisamos falar sobre como seu computador normalmente faz o boot. No exato momento em que seu PC é ligado, ele está em seu estado mais privilegiado: tem acesso total e irrestrito a todo o sistema e ao hardware conectado. O sistema começa carregando e executando o firmware inicial (geralmente UEFI), que então desencadeia diversas inicializações de hardware, software e segurança. Só depois de tudo isso, o controle finalmente passa para o sistema operacional, que é o que normalmente associamos com "o computador".

O problema é que os componentes que carregam antes nessa cadeia geralmente têm mais privilégios e podem manipular os componentes que carregam depois. Os desenvolvedores de cheats entendem isso muito bem. Infelizmente, o sistema operacional em que seu jogo roda carrega perto do final do processo. Isso significa que os cheats podem carregar antes, obter privilégios e se esconder no sistema antes que o sistema operacional ou qualquer coisa rodando nele tenha chance de se defender.

Felizmente, recursos de segurança como Secure Boot, VBS e IOMMU já existem para ajudar a proteger o sistema. Na maior parte das vezes, eles são eficazes na prevenção desse vetor de ataque, desde que estejam habilitados e funcionando corretamente.

A estratégia do Vanguard é simples: criar um perímetro ao redor do kernel do Windows para garantir, o quanto antes, que o sistema não foi comprometido. Se um cheat carregar antes de nós, ele terá mais chance de se esconder onde não podemos encontrá-lo. Isso cria uma oportunidade para que cheats permaneçam indetectáveis, causando problemas nos seus jogos por mais tempo do que é aceitável.

A descoberta: um vigia adormecido

Lembra que, há pouco tempo, falamos sobre os recursos de segurança existentes que funcionam bem, desde que estejam ativos? Vamos falar sobre um deles: a IOMMU.

Durante anos, a forma mais eficaz (e cara) de trapacear envolveu o uso de dispositivos DMA (Acesso Direto à Memória).

Placas DMA são dispositivos de hardware que se conectam ao seu PC e acessam a memória diretamente, contornando a CPU e o Windows. Para detê-los, contamos com um recurso de hardware chamado IOMMU (Input-Output Memory Management Unit, ou, em bom português, Unidade de Gerenciamento de Memória de Entrada e Saída). Pense na IOMMU como um vigia da sua RAM: ele verifica a identificação de cada dispositivo que tenta acessar a memória e expulsa aqueles que não estão na lista de convidados.

O recurso de segurança "Proteção DMA no Pré-Boot" está presente na BIOS/no firmware de muitos dispositivos e utiliza a IOMMU do sistema para impedir acessos DMA não autorizados à memória do sistema logo no comecinho do processo de inicialização. Isso dá ao sistema operacional carregado certa confiança de que o sistema foi inicializado com um nível previsível de integridade. O que é ótimo, na teoria… mas também significa que o sistema operacional precisa confiar no próprio recurso de segurança.

E foi exatamente isso que a pesquisa da equipe do Vanguard identificou. Em alguns casos, firmwares de fabricantes de hardware sinalizavam incorretamente ao sistema operacional que esse recurso estava totalmente ativo, quando na verdade a IOMMU não estava sendo inicializado corretamente.

Ou seja, embora as configurações de "Proteção DMA no Pré-Boot" aparecessem como ativas na BIOS, a implementação de hardware subjacente não estava ativando completamente a IOMMU nos primeiros segundos do processo de inicialização. O "vigia" do sistema parecia estar de plantão, mas na verdade estava tirando um cochilo. Assim, quando o sistema é totalmente carregado, ele não pode ter 100% de certeza de que nenhum código que comprometa a integridade tenha sido injetado via DMA.

Essa breve janela é tudo o que um cheat de hardware sofisticado precisa para se infiltrar, injetar código e se esconder antes que o Vanguard acorde.

A solução: uma atualização integrada

No início deste ano, compartilhamos essas descobertas com nossos parceiros de hardware, que colaboraram de forma excelente no processo, validando o problema e desenvolvendo atualizações abrangentes de BIOS para fechar essa lacuna. 

Não somos só nós que estamos dizendo. Confira abaixo os avisos de segurança dos principais fabricantes de hardware: 

Essas atualizações garantem que, ao serem ativados, os recursos de segurança estejam em funcionamento desde o primeiro milissegundo após ligar o computador.

O que fazer se eu receber uma restrição?

O sistema VAN:Restriction é a forma de o Vanguard informar que não podemos garantir a integridade do sistema devido aos recursos de segurança desativados descritos acima. Ele impedirá a inicialização do VALORANT, e você verá uma janela pop-up informando o que é necessário habilitar para continuar jogando. Essas restrições são aplicadas no nível da conta ou do HWID quando detectamos comportamento suspeito de hardware ou anomalias estatísticas. Essas anomalias podem ocorrer devido a diversos fatores, incluindo recursos de segurança desativados ou, neste caso, a recém-descoberta brecha de pré-boot que invalida a IOMMU. Receber um desses avisos não significa necessariamente que suspeitamos que você esteja trapaceando, mas que a configuração atual do seu sistema é muito semelhante à de trapaceiros que contornam os recursos de segurança para se tornarem indetectáveis pelo Vanguard. 

Essa linha mínima de segurança é essencial para combater trapaceiros. Se estiver com alguma, você precisará ativar esses recursos ou atualizar o firmware da sua placa-mãe seguindo as instruções oficiais do fabricante antes de poder jogar. Saiba mais sobre as restrições nesta página de suporte

Além disso, estamos avaliando expandir esse requisito para todos os jogadores do mais alto nível (Ascendente e acima), a fim de garantir um padrão mínimo confiável de segurança para o topo das classificações.

O objetivo

Atualizações de BIOS não são tão empolgantes quanto ver os números de banimentos, mas este é um passo necessário em nossa corrida contra cheats de hardware. Ao fechar essa brecha no pré-boot, estamos neutralizando toda uma classe de cheats anteriormente intocáveis e aumentando significativamente o custo de jogar de forma injusta.

Todo esse esforço é uma conquista importante, não apenas para nossa equipe antitrapaça, mas para toda a indústria de jogos, além da Riot Games. Se não tivesse sido detectado, esse problema teria anulado completamente todas as tecnologias de detecção e prevenção de DMA atualmente existentes no mercado — inclusive as de outras empresas de jogos — devido à natureza dessa classe de cheats, que opera em uma área privilegiada onde os sistemas antitrapaça normalmente não atuam.

Se você quiser se adiantar e manter sua jogatina sem interrupções, pode atualizar proativamente sua placa-mãe para o firmware mais recente visitando os sites dos fabricantes. Elevar o nível geral de segurança da indústria de jogos é um dos nossos focos desde 2021. A adoção dessas medidas rigorosas agora é evidente em toda a indústria, como destacado em artigos como o da Xbox: "Construindo um futuro confiável para jogos: como a segurança impulsiona um jogo limpo." Esses fundamentos de segurança são inegociáveis na luta contra as trapaças. Temos orgulho de sermos pioneiros nesses avanços de segurança e estamos comprometidos em manter um ambiente competitivo justo e confiável para todos.

Agradecemos seus esforços em manter os sistemas atualizados. Isso ajuda a manter os jogos justos e seguros para todos. Fique à vontade para entrar em contato com o Suporte da Riot caso tenha algum problema. Podemos fornecer orientações gerais ou encaminhar você para os recursos oficiais do fabricante.