Op 18 december 2025 heeft Riot Games officieel de ontdekking bevestigd van een hardware-kwetsbaarheid die firmware van moederborden treft en waarmee sommige valsspelers anti-cheats kunnen omzeilen, waaronder Vanguard. De uitgever beschrijft een lek dat zich zeer vroeg in het opstartproces van de machine bevindt, op een moment waarop softwarebescherming nog niet echt van kracht is.
Het onderwerp gaat verder dan een simpele patch om te downloaden. Hier kunnen beveiligingsmechanismen die in de BIOS zouden moeten worden geactiveerd, misleidend blijken te zijn, met directe gevolgen voor de spelers: Riot kondigt toegangsbeperkingen aan voor VALORANT voor systemen die als kwetsbaar worden gedetecteerd zolang de update niet is uitgevoerd.
Wat opvalt in deze zaak is de aard van de omzeiling: het gaat niet om een discreet script of een twijfelachtige driver, maar om een hardwarematige benadering, ontworpen om zich voor de verdediging van de anti-cheat in te voegen.
Een pre-boot kwetsbaarheid die de grijze zone voor de anti-cheat aanvalt
Volgens de door Riot verstrekte informatie betreft het probleem de IOMMU (Input-Output Memory Management Unit). Onder omstandigheden waarin alles correct werkt, beperkt dit onderdeel en zijn configuratie de directe toegang tot het geheugen door bepaalde apparaten. De beschreven kwetsbaarheid houdt echter een onvolledige of onjuiste initialisatie in tijdens de vroege opstartfase.
Het gevoelige punt is dat opties zoals Pre-Boot DMA Protection in de BIOS geactiveerd kunnen lijken, terwijl de effectieve bescherming zijn rol niet vervult. Met andere woorden, de interface kan een geruststellend verhaal vertellen, terwijl technisch gezien een deur op een kier blijft staan gedurende een zeer korte, maar voldoende tijdsperiode.
Het valsspeelscenario: injectie via DMA voordat het systeem klaar is
Riot beschrijft een aanvalsvector waarbij valsspelers gebruikmaken van hardwareapparaten die via PCIe zijn aangesloten en DMA (Direct Memory Access) kunnen uitvoeren. Het doel is toegang te krijgen tot de RAM en daar code in te injecteren op een kritiek moment: de allereerste momenten van de opstart, voordat het softwareverdedigingsecosysteem volledig operationeel is.
In dit model kan de geïnjecteerde code worden geladen met zeer hoge privileges, wat detectie bemoeilijkt. Riot benadrukt de tijdelijkheid: het gaat om de eerste milliseconden van de opstart. Op papier lijkt dit detail een nuance. In werkelijkheid is het precies wat de benadering formidabel maakt tegenover anti-cheats die per definitie software zijn en onderworpen aan de laadvolgorde van de machine.
De betrokken fabrikanten en de CVE’s gepubliceerd in december 2025
De kwetsbaarheid treft verschillende grote spelers op de markt. Riot noemt firmware van moederborden die verband houden met vier fabrikanten: ASUS, Gigabyte, MSI en ASRock. Er zijn ook CVE-identificaties gekoppeld aan elk geval: CVE-2025-11901 (ASUS), CVE-2025-14302 (Gigabyte), CVE-2025-14303 (MSI) en CVE-2025-14304 (ASRock).
De correcties worden aangekondigd in de vorm van BIOS/firmware-updates die in december 2025 worden gepubliceerd. Op dit punt is het belangrijkste om te onthouden niet een lijst van modellen per geval, maar de logica: de correctie vindt plaats op het niveau van de firmware, dus door een update-stap die veel spelers uitstellen… tot de dag dat een competitief spel je rustig uitlegt dat het niet langer optioneel is.
De reactie van Riot: beperkingen en naleving via VAN:Restriction
Riot kondigt de uitrol aan van een controlesysteem genaamd VAN:Restriction service, dat als aanstaand wordt gepresenteerd vanaf de aankondiging van 18 december 2025. Concreet kan de toegang tot VALORANT worden geblokkeerd als de machine als kwetsbaar wordt gedetecteerd, met een venster dat de tijd laat om de noodzakelijke updates toe te passen.
In de beschreven implementatie moet een foutvenster de vereiste acties aangeven, en de gebruiker moet de firmware van zijn moederbord bijwerken. Riot noemt ook een mechanisme van beperkingen gekoppeld aan het account of de hardware-identificatie (HWID). De boodschap is glashelder: als de kwetsbaarheid zich voor het besturingssysteem bevindt, moet de reactie ook zo dicht mogelijk bij de hardware worden gezocht.
Een geleidelijke uitrol, met een oog op het hoogste competitieve niveau
Riot beschrijft een uitrol in verschillende fasen. De eerste richt zich op spelers waarvan de systemen al als kwetsbaar zijn gedetecteerd. Een tweede fase, die nog in onderzoek is, zou mogelijk spelers in de rang Ascendant en hoger kunnen betreffen. Redactioneel gezien is deze precisering van belang: het signaleert een geleidelijke aanpak, gericht op omgevingen waar de competitieve integriteit het meest gevoelig is.
Dit soort beslissingen heeft ook een zeer concreet neveneffect: het drijft een populatie van spelers om een operatie uit te voeren die soms als riskant of vervelend wordt beschouwd, namelijk het bijwerken van de BIOS. Het is geen glamoureuze handeling, maar het wordt hier een noodzakelijke stap als men wil blijven spelen onder omstandigheden die door de uitgever als veilig worden beschouwd.
Wat spelers moeten onthouden, zonder te verdwalen in paranoia
Op dit moment is de centrale informatie eenvoudig: er bestaan correcties, ze worden uitgevoerd via een firmware-update, en Riot is van plan de toegang tot het spel afhankelijk te maken van deze naleving. De kwetsbaarheid bevindt zich op het niveau van de pre-boot bescherming gerelateerd aan DMA en de IOMMU, wat verklaart waarom een Windows-patch of herinstallatie niets verandert aan het onderliggende probleem.
Om een praktische lezing te behouden, kunnen de te overwegen acties als volgt worden samengevat:
- Controleren of er een BIOS-update beschikbaar is voor het moederbord (ASUS, Gigabyte, MSI, ASRock worden genoemd).
- De gecorrigeerde firmware toepassen die in december 2025 is gepubliceerd, strikt volgens de procedure van de fabrikant.
- Het spel opnieuw starten na de update als een beperking de toegang tot VALORANT verhindert.
Riot beschouwt deze ontdekking als een belangrijke prestatie voor de industrie, in die zin dat de kwetsbaarheid bestaande DMA-detectietechnologieën zou hebben tenietgedaan. De logische voortzetting zal nu afhangen van de snelheid waarmee spelers de correcties adopteren en van het vermogen van fabrikanten om firmware op de lange termijn up-to-date te houden. In dit krachtenspel is één punt al duidelijk: valsspelen beperkt zich niet langer tot een verdacht uitvoerbaar bestand, het spreekt ook de taal van de hardware.
