华硕、技嘉驱动程序曝权限提升、代码执行漏洞

据外媒BleepingComputer报道,来自华硕(ASUS)和技嘉(GIGABYTE)的四个驱动程序均存在多个漏洞,而攻击者可以利用这些漏洞来提升权限,以及执行任意代码。

报道称,共有7个影响到5款软件产品的漏洞被发现。此外,发现这些漏洞的研究人员已经针对每一款软件产品都编写了漏洞利用代码,而其中多个漏洞到目前为止仍然没有被修复。

其中两个易受攻击的驱动程序是由华硕的Aura Sync软件(v1.07.22及更早版本)安装的,它们携带的漏洞可用于执行任意代码。

来自技嘉的易受攻击驱动程序是与同一品牌的主板和显卡,以及技嘉子公司AORUS生产的主板和显卡捆绑在一起。存在于这些驱动程序中的漏洞能够导权限提升,受影响的软件产品包括:GIGABYTE App Center(v1.05.21及更早版本)、AORUS Graphics Engine(v1.33及及更早版本)、XTREME Engine utility(v1.25及更早版本)和OC Guru II(v2.08)。

在华硕GLCKIo和Asusgio驱动程序中发现了三个漏洞

Aura Sync是一种实用程序,它能够让所有与主板、显卡和外设(键盘、鼠标)等兼容的产品使用的RGB灯条同步工作,从而使用户获得个性化的游戏体验。

当Aura Sync被安装到系统时,同时被安装的还有GLCKIo和Asusgio驱动程序。而这两个驱动程序都存在安全漏洞CVE-2018-18537、CVE-2018-18536和CVE-2018-18535,这些漏洞允许攻击者执行任意代码。

报道称,这些漏洞是由SecureAuth公司的Diego Juarez发现的。他在周二发布的一份报告中表示,该公司已经负责任地向华硕披露了这些漏洞。但从华硕后续发布的两个Aura Sync新版本来看,其中两个漏洞仍然没有被修复。

第一个漏洞CVE-2018-18537,存在于GLCKIo驱动程序中,它可以通过向任意地址写入任意“double word(DWORD)”来利用。为了证明这个漏洞的有效性,研究人员创建了一段概念验证(PoC)代码,最终触发了系统崩溃。

第二个漏洞CVE-2018-18536,同时存在于GLCKIo和Asusgion驱动程序中,它暴露了一种能够从IO端口读/写数据的方式。Juarez表示:“这可以通过多种方式来加以利用,最终能够以提升后的权限来运行代码。”

Juarez同样使用PoC代码展示了这个漏洞可能带来的影响。比如,在测试中就导致了计算机重启。不过,Juarez表示该漏洞所带来的影响远不止于此,它实际上要更加危险。

第三个漏洞CVE-2018-18535是在Asusgio驱动程序中发现的,它同样暴露了一种读/写方法,但并非是从IO端口,而是从Model-specific register(MSR)。攻击者可以利用它来运行具有最高权限(ring-0,保留给操作系统内核)的代码。

MSR是x86架构中的概念,指的是在x86架构处理器中,一系列用于控制CPU运行、功能开关、调试、跟踪程序执行、监测CPU性能等方面的寄存器。这些寄存器可以通过特权指令“rdmsr”和“wrmsr”来访问,但这些指令只能通过具有ring-0级权限的代码执行。

来自Juarez的PoC证实,存在于Asusgio驱动程序中的CVE-2018-18535漏洞允许攻击者通过泄漏绕过内核地址空间布局随机化(KASLR)的内核函数指针来访问MSR寄存器,导致的结果是BSOD(蓝屏死机)。

与华硕的沟通没有取得很好的效果

根据SecureAuth公布的披露时间表,与华硕的沟通是从2017年11月份开始的。华硕于2018年2月2日对漏洞进行了确认,并在19天后表示将于4月份对Aura Sync实用程序进行更新。

3月26日,华硕告知SecureAuth漏洞已经得到解决。SecureAuth表示,这也是华硕最后的回复。

当该公司注意到于4月份发布的Aura Sync新版本仍然包含这些漏洞时,该公司立马要求华硕进行解释。该软件的后续版本于5月份发布,但经SecureAuth确认,华硕只修复了三个漏洞中的一个。

在技嘉GPCIDrv和GDrv驱动程序中发现了四个漏洞

Juarez还分析了技嘉的GPCIDrv和GDrv驱动程序,发现它们可以接收来自非特权用户进程的系统调用,甚至是那些以低完整性级别运行的进程。

他发现的第一个漏洞,现在被追踪为CVE-2018-19320,为攻击者提供了完全控制系统的可能性。

为了证明这一点,Juarez也为GDrv驱动程序创建了一段PoC代码。事实证明,非特权用户也能够读/写任意虚拟内存。由于是出于演示目的,因此这段PoC代码同样只会触发系统崩溃,而该漏洞能够造成的破坏远不止于此。

第二个漏洞是CVE-2018-19322,暴露了一种使用非特权访问从输入/输出端口读/写数据的方法。技嘉的GPCIDrv和GDrv驱动程序均被发现存在这个漏洞,使得攻击者能够获取到更高的权限。同样,Juarez编写的PoC代码只会导致计算机重新启动,但只需进行修改就能导致更严重的后果。

GDrv驱动程序也暴露了一种能够使用非特权指令来访问MSR寄存器的方法,允许攻击者使用ring-0级权限执行任意代码。该漏洞被标识为CVE-2018-19323,允许攻击者通过泄漏绕过内核地址空间布局随机化(KASLR)的内核函数指针来访问MSR寄存器,PoC代码能够导致BSOD(蓝屏死机)。

根据SecureAuth的研究,在GPCIDrv和GDrv驱动程序中均存在漏洞CVE-2018-19321。这是一个内存损坏漏洞,允许攻击者完全控制受影响的系统。

提供给BleepingComputer的PoC是无害的,因为它只会触发计算机崩溃,但正如前面所说的那样,只需对代码进行一定的修改,就能够导致更严重的后果。

根据 SecureAuth 公布的披露时间表,该公司于2018年4月24日向技嘉披露了这些漏洞,并在6天后收到回复。但在经过几次电子邮件交流之后并没有取得任何成果,因为技嘉回应称,其产品并不受 SecureAuth所披露漏洞的影响。

与技嘉的沟通也是徒劳

SecureAuth公布的披露时间表表明,尽管收到了技术说明和演示用的漏洞利用代码,但技嘉并没有对上述漏洞进行修复。

“在2018年5月份,技嘉技术支持团队回复称,技嘉是一家硬件公司,不是一家专业的软件公司。他们要求我们提供具体的技术细节和教程,以便能够对漏洞进行验证。”SecureAuth透露。

SecureAuth还表示“技嘉在最后一次回复中完全否定了这些漏洞,因为技嘉回复称,其项目主管和工程师认为,其产品并不受我们所披露的漏洞的影响。”

你可能感兴趣的:(华硕、技嘉驱动程序曝权限提升、代码执行漏洞)