华硕和技嘉科技公司的四款硬件驱动程序中被曝存在多个漏洞,可被攻击者用于获取更高的系统权限并执行任意代码。

总体而言,共有5款软件产品受7个漏洞的影响,研究人员已为每个漏洞编写 PoC 代码,其中很多漏洞可能尚未被修复。

其中两款易受攻击的驱动是由华硕 Aura Sync 软件(v1.07.22 及更早版本)安装的,其中包含的权限可被用于执行本地代码。

技嘉 (GIGABYTE) 公司的驱动器是和技嘉主板和显卡、以及该公司的子公司AORUS 发布的。这些漏洞导致通过软件如 GIGABYTE App Center (v1.05.21及以下版本)、AORUS Graphics Engine(v1.33及以下版本)、XTREME Engine 工具(v1.25 及更早版本)以及 OC Guru II (v2.08) 提升权限。

华硕 GLCKIo 和 Asusgio 驱动被曝三个 bug

Aura Sync 工具可使用户通过与主板、显卡和外围设备(键盘、鼠标)等兼容产品一起使用的 RGB 条带同步照明,使用户获得个性化的游戏体验。

在添加至系统时,Aura Sync 还同时安装 GLCKIo 和Asusgio 驱动,而这些驱动易受 CVE-2018-18537、CVE-2018-18536 和 CVE-2018-18535 漏洞的影响,从而导致代码执行。

SecureAuth 公司的漏洞利用作者 Diego Juarez 发现并研究了这些漏洞;该公司负责任地将漏洞披露,但该公司发现华硕公司发布两个 Aura Sync 新版本后仍然未解决两个漏洞问题。

可通过向任意地址写入任意”double word”的方式利用 GLCKIo 驱动中的CVE-2018-18537 漏洞。研究人员已创建 PoC 演示该漏洞,结果是漏洞可导致系统崩溃。

第二个漏洞 CVE-2018-18536 同时存在于 GLCKIo 和Asusgion 驱动器中,可导致允许从 IO 端口读取和写入数据。SecureAuth 公司认为该漏洞的利用方式有很多,最终可导致以提升的权限执行代码。

研究人员也通过 PoC 演示了该漏洞的影响如计算机被重启,但实际上可能带来更严重的后果。

CVE-2018-18535存在于 Asusgio 中,它暴露了一种模型专用寄存器 (MSR) 的读/写方法。它可被用于以最高权限(ring-0,即为操作系统保留的权限)运行任意代码。

MSR 是 CPU 架构特有的控制寄存器,提供对 CPU 调试功能、性能监控或程序执行跟踪功能的访问权限。这些功能可通过权限指令‘rdmsr’和‘wrmsr’指令访问,而这些指令仅可由具有 ring-0 权限级别的代码访问。

研究人员在 PoC 中指出,可通过泄漏绕过内核地址空间布局随机化 (KASLR) 的内核函数指针利用CVE-2018-18535不安全地访问 MSR,从而导致蓝屏死机的结果。

沟通不畅

从SecureAuth 公司发布的时间轴来看,和华硕的沟通时间始于2017年11月。华硕公司在2018年2月2日证实漏洞初稿报告,19天后表示将在4月份更新 Aura Sync。

3月26日,华硕通知 SecureAuth 公司表示漏洞问题已解决,据 SecureAuth 公司表示这是双方最后一次沟通。

SecureAuth 公司发现4月发布的版本中仍然含有安全缺陷,并要求华硕公司澄清。之后5月份软件发布新版本,但SecureAuth 公司表示仅解决了其中一个漏洞,还有两个仍未解决。

技嘉驱动可导致和非权限进程交互

Juarez 还分析了几家公司的 GPCIDrv 和 GDrv 驱动,并发现能从非权限用户进程中接收系统调用,即使这些进程以低完整性级别运行(被 Windows 认为是不受信任的)也不例外。

他发现的第一个漏洞是 CVE-2018-19320,很有可能被攻击者用于完全控制系统。为证明该漏洞的危害,Juarez 为 GDrv 创建了一个 PoC,任意虚拟内存拥有非权限读/写访问权限。由于是演示性质,代码仅做了一个系统崩溃演示。

第二个漏洞是 CVE-2018-19322,它暴露了向输入/输出端口读取并写入的非权限访问权限方式。该漏洞同时影响技嘉公司的这两款驱动,并可导致攻击者提升在系统上的权限。Juarez 的利用代码虽然近演示了计算机重启的后果,但实际上可造成更严重的后果。

以非权限级别访问 MSR 注册表的方式也遭 GDrv 暴露,很可能导致以 ring-0 权限执行任意代码。该漏洞 CVE-2018-19323 已通过 PoC 演示,可可导致蓝屏死机的结果,是通过暴露内核函数指针并绕过 KASLR 保护措施实现的。

SecureAuth 公司指出,GPCIDrv 和 GDrv 均易受 CVE-2018-19321 的影响。该漏洞是一个内存损坏漏洞,可导致攻击者完全控制受影响系统。PoC 显示可导致计算机崩溃等。

从SecureAuth 发布的安全公告的时间轴来看,该公司试图和技嘉公司在2018年4月24日进行沟通。6天后,技嘉公司回复。几次沟通后,技嘉公司表示产品并未受已披露漏洞的影响。

沟通无果

从SecureAuth 公司发布的时间轴来看,技嘉公司并未修复以上提及的任何问题,虽然已经接受了研究人员提交的技术详情和演示利用代码。

SecureAuth 公司表示,2018年4月,“技嘉技术支持团队回复称技嘉公司是一家硬件公司,而非软件公司。他们要求获取技术详情和指南验证漏洞的真实性。”

最后结果是,技嘉公司完全否认了这些漏洞的存在,“技嘉公司的产品经理和工程师表示,本公司产品并未受已报告漏洞的影响”。

本文由360代码卫士翻译自BleepingComputer

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。