Tóm Tắt: Chúng tôi đã phát hiện một lỗ hổng nghiêm trọng trên nhiều dòng bo mạch chủ khác nhau, có thể bị khai thác để chèn mã mà không bị phát hiện. Nếu hệ thống của bạn bị ảnh hưởng, Vanguard sẽ nhắc bạn thông qua dịch vụ VAN:Hạn chế của chúng tôi để cập nhật phần mềm của bo mạch chủ.

Xin chào các cao thủ leo hạng.

Tên tôi là Mohamed, và có lẽ một số bạn biết tôi với cái tên ItsGamerDoc trên X. Đây là bài viết chính thức đầu tiên của tôi tại Riot. Đội ngũ Khu Bếp Chống Gian Lận đã làm việc không ngừng nghỉ, liên tục "dọn lên" từng món "súp" lệnh cấm thịnh soạn dành cho những kẻ gian lận, nhưng hôm nay tôi không muốn tập trung vào những án phạt ngon lành đó. Thay vào đó, tôi muốn nói về những gì đang được "nấu nướng" phía sau hậu trường: một công thức thực thi bảo mật khiến các công cụ gian lận DMA… à thì… bị nấu chín.

Được rồi, đủ rồi, hãy tạm dừng các phép ẩn dụ nấu nướng tại đây. Trong tương lai rất gần, Vanguard sẽ bắt đầu áp dụng các biện pháp kiểm tra nghiêm ngặt hơn đối với bảo mật khởi động hệ thống cho một số người chơi nhất định.

Vì sao ư? Trước đó, vào đầu năm nay, chúng tôi đã phát hiện một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều dòng bo mạch chủ hiện đại khác nhau. Vấn đề này cho phép các công cụ gian lận phần cứng có khả năng chèn mã mà không bị phát hiện, ngay cả khi các thiết lập bảo mật trên hệ thống chủ dường như đã được bật.

Dưới đây là phần giải thích ngắn gọn về lý do vì sao điều này xảy ra và, quan trọng hơn, những việc bạn cần làm nếu hệ thống của mình bị ảnh hưởng.

Bài Toán "Ai Khởi Chạy Trước?"

Để hiểu được thay đổi trong việc thực thi này, trước hết chúng ta cần nói về cách máy tính của bạn khởi động thông thường. Ngay tại thời điểm PC được bật nguồn, hệ thống đang ở trạng thái đặc quyền cao nhất: nó có toàn quyền truy cập, không bị hạn chế, vào toàn bộ hệ thống và mọi phần cứng được kết nối. Hệ thống sẽ bắt đầu bằng việc tải và thực thi firmware khởi tạo ban đầu (thường là UEFI), sau đó khởi động một chuỗi các bước khởi tạo phần cứng, phần mềm và bảo mật. Chỉ sau khi tất cả các bước này hoàn tất, quyền kiểm soát mới chính thức được chuyển giao cho hệ điều hành, tức thứ mà chúng ta thường nghĩ đến khi nói "máy tính".

Vấn đề nảy sinh ở đây là các thành phần được tải sớm hơn trong chuỗi khởi động này thường có mức đặc quyền cao hơn, và có thể thao túng các thành phần được tải sau đó. Các nhà phát triển gian lận hiểu rất rõ điều này. Đáng tiếc là hệ điều hành mà trò chơi của bạn chạy trên đó lại được tải gần như ở giai đoạn cuối của quá trình. Điều này đồng nghĩa với việc các công cụ gian lận có thể được tải từ rất sớm, giành được mức đặc quyền cao hơn, và ẩn mình hiệu quả trong hệ thống trước khi hệ điều hành (hoặc bất kỳ thành phần nào chạy trên đó) có cơ hội tự vệ.

May mắn thay, các tính năng bảo mật như Secure Boot, VBS và IOMMU đã tồn tại để hỗ trợ bảo mật. Và nhìn chung, chúng hoạt động hiệu quả trong việc ngăn chặn hướng tấn công này, với điều kiện là chúng được bật và vận hành đúng cách.

Chiến lược của Vanguard rất đơn giản: tạo ra một vành đai bảo vệ xung quanh nhân Windows để đảm bảo hệ thống chưa bị xâm phạm ở thời điểm sớm nhất có thể. Nếu một công cụ gian lận được tải trước chúng tôi, nó sẽ có nhiều cơ hội hơn để ẩn mình ở những nơi mà chúng tôi không thể phát hiện. Điều này tạo điều kiện cho các công cụ gian lận cố gắng duy trì trạng thái không bị phát hiện, gây hỗn loạn trong các trận đấu của bạn lâu hơn mức mà chúng tôi chấp nhận.

Phát Hiện: Người Gác Cổng Đang Ngủ Quên

Bạn còn nhớ khi nãy chúng ta đã nhắc đến các tính năng bảo mật hiện có, vốn làm tốt nhiệm vụ của mình nếu chúng hoạt động đúng không? Giờ hãy nói về một trong số đó: IOMMU.

Trong nhiều năm qua, hình thức gian lận hiệu quả nhất (và tốn kém nhất) là việc sử dụng các thiết bị DMA (Direct Memory Access - tạm dịch "Truy Cập Trực Tiếp Bộ Nhớ").

Các card DMA là những thiết bị phần cứng được cắm vào PC và truy cập trực tiếp vào bộ nhớ, bỏ qua CPU và Windows. Để ngăn chặn chúng, chúng tôi dựa vào một tính năng phần cứng có tên là IOMMU (Input-Output Memory Management Unit). Hãy hình dung IOMMU như một người gác cổng cho RAM của bạn; nó kiểm tra danh tính của mọi thiết bị đang cố gắng truy cập bộ nhớ và "đuổi" những thiết bị không có tên trong danh sách khách mời.

"Pre-Boot DMA Protection" (Bảo Vệ DMA Tiền Khởi Động) là một tính năng bảo mật có mặt trong BIOS/firmware của nhiều thiết bị, tận dụng IOMMU của hệ thống để ngăn chặn việc truy cập DMA trái phép vào bộ nhớ hệ thống ngay từ giai đoạn sớm của chuỗi khởi động. Điều này giúp hệ điều hành được tải lên có mức độ tin cậy nhất định rằng hệ thống mà nó đang chạy đã được khởi tạo với một mức toàn vẹn có thể dự đoán được. Về mặt lý thuyết thì điều này là rất tuyệt… Nhưng điều đó cũng đồng nghĩa với việc hệ điều hành phải tin tưởng chính bản thân tính năng bảo mật này.

Và đó chính xác là điều mà nghiên cứu của đội ngũ Vanguard đã phát hiện ra. Trong một số trường hợp, phần mềm của nhà sản xuất phần cứng đã báo hiệu sai cho hệ điều hành rằng tính năng này đang hoạt động đầy đủ, trong khi trên thực tế nó đã không khởi tạo IOMMU đúng cách trong giai đoạn khởi động sớm.

Điều này đồng nghĩa với việc, dù các thiết lập "Bảo Vệ DMA Tiền Khởi Động" trông có vẻ đã được bật trong BIOS, nhưng việc triển khai phần cứng bên dưới lại không khởi tạo đầy đủ IOMMU trong những giây đầu tiên của quá trình khởi động. Nói cách khác, "người gác cổng" của hệ thống có vẻ như đang làm nhiệm vụ, nhưng thực chất lại đang ngủ gật trên ghế. Vì vậy, đến thời điểm hệ thống được tải hoàn chỉnh, nó không thể chắc chắn 100% rằng không có bất kỳ đoạn mã phá vỡ tính toàn vẹn nào đã được chèn vào thông qua DMA.

Khoảng thời gian ngắn ngủi này là tất cả những gì một công cụ gian lận phần cứng tinh vi cần để lén xâm nhập, chèn mã và tự ẩn mình trước khi Vanguard kịp "thức dậy".

Giải Pháp: Một Bản Cập Nhật Thống Nhất

Trước đó, vào đầu năm nay, chúng tôi đã chia sẻ các phát hiện của mình với các đối tác phần cứng, và họ đã hợp tác vô cùng hiệu quả trong suốt quá trình này bằng việc xác nhận vấn đề và phát hành các bản cập nhật BIOS toàn diện để khép lại khoảng trống này. 

Đừng chỉ tin lời chúng tôi - dưới đây là các thông báo bảo mật từ những nhà sản xuất phần cứng lớn: 

Các bản cập nhật này sẽ đảm bảo rằng khi bạn bật các tính năng bảo mật, chúng sẽ được kích hoạt ngay từ mili-giây đầu tiên khi hệ thống được cấp nguồn.

Cần làm gì nếu tôi bị áp dụng Hạn Chế?

Hệ thống VAN:Hạn Chế của chúng tôi là cách Vanguard thông báo rằng chúng tôi không thể đảm bảo tính toàn vẹn của hệ thống do các tính năng bảo mật đã nêu đang bị vô hiệu hóa. Điều này sẽ ngăn bạn khởi chạy VALORANT, và bạn sẽ thấy một cửa sổ hiển thị lên cho biết những yêu cầu cần được bật để bạn có thể tiếp tục chơi. Các hạn chế này được áp dụng ở cấp độ tài khoản hoặc HWID khi chúng tôi phát hiện hành vi phần cứng đáng ngờ hoặc các bất thường về mặt thống kê. Những bất thường này có thể xảy ra do nhiều yếu tố khác nhau, bao gồm việc các tính năng bảo mật bị tắt, hoặc trong trường hợp này là lỗ hổng tiền khởi động mới được phát hiện khiến IOMMU bị vô hiệu hóa. Việc nhận một trong những cảnh báo này không nhất thiết có nghĩa là chúng tôi nghi ngờ bạn gian lận - mà là cấu hình hệ thống hiện tại của bạn quá giống với các cấu hình mà những kẻ gian lận sử dụng để vượt qua các tính năng bảo mật nhằm trở nên không thể bị Vanguard phát hiện. 

Mức nền bảo mật tối thiểu này là yếu tố thiết yếu để đối phó với gian lận. Nếu bị áp dụng Hạn Chế, bạn sẽ được nhắc hoặc bật các tính năng bảo mật nêu trên, hoặc cập nhật phần mềm của bo mạch chủ theo hướng dẫn chính thức từ nhà sản xuất trước khi có thể chơi. Bạn có thể tìm hiểu thêm về các Hạn Chế tại trang hỗ trợ này

Ngoài ra, chúng tôi đang xem xét việc triển khai yêu cầu này cho toàn bộ người chơi ở các bậc xếp hạng cao nhất (Thượng Nhân trở lên), nhằm đảm bảo một mức nền bảo mật đáng tin cậy cho nhóm dẫn đầu bảng xếp hạng.

Mục Tiêu

Các bản cập nhật BIOS có thể không hấp dẫn như việc nhìn vào các con số cấm, nhưng đây là một bước đi cần thiết trong cuộc chạy đua vũ trang của chúng tôi chống lại việc gian lận phần cứng. Bằng cách khép lại lỗ hổng tiền khởi động này, chúng tôi đang vô hiệu hóa toàn bộ một nhóm gian lận trước đây gần như không thể can thiệp, đồng thời nâng cao đáng kể chi phí phải trả cho hành vi chơi không công bằng.

Toàn bộ nỗ lực này là một thành tựu mang ý nghĩa lớn, không chỉ đối với hệ thống chống gian lận của chúng tôi mà còn đối với toàn bộ ngành công nghiệp game, vượt ra ngoài phạm vi Riot Games. Nếu vấn đề này không được phát hiện, nó sẽ hoàn toàn vô hiệu hóa toàn bộ các công nghệ phát hiện và ngăn chặn phần mềm gian lận DMA hiện có trên thị trường, bao gồm cả của các công ty game khác, do bản chất của nhóm gian lận này hoạt động trong một vùng đặc quyền mà các hệ thống chống gian lận thường không chạy.

Nếu bạn muốn chủ động đi trước vấn đề này và có một quá trình leo hạng không bị gián đoạn, bạn có thể tự cập nhật bo mạch chủ của mình lên phiên bản phần mềm mới nhất bằng cách truy cập trang web của nhà sản xuất. Việc nâng cao mức độ bảo mật tổng thể của ngành công nghiệp game đã là một trọng tâm cốt lõi của chúng tôi kể từ năm 2021.Việc áp dụng các biện pháp nghiêm ngặt này hiện đã trở nên rõ ràng trên toàn ngành, như được nêu bật qua những bài viết như "Building a Trusted Gaming Future: How Security Powers Fair Play" của Xbox. Những nền tảng bảo mật này là điều không thể thương lượng trong cuộc chiến chống gian lận. Chúng tôi tự hào là đơn vị tiên phong trong các cải tiến bảo mật này và cam kết duy trì một môi trường cạnh tranh công bằng, đáng tin cậy cho tất cả mọi người.

Chúng tôi trân trọng những nỗ lực bạn bỏ ra để luôn giữ hệ thống của mình được cập nhật. Cảm ơn bạn đã chung tay giúp duy trì sự công bằng và an toàn cho tất cả mọi người trong trò chơi. Nếu gặp bất kỳ vấn đề nào, đừng ngần ngại liên hệ với Bộ Phận Hỗ Trợ Riot, chúng tôi có thể cung cấp hướng dẫn chung hoặc điều hướng bạn tới các tài nguyên chính thức từ nhà sản xuất