華碩、技嘉驅動程序曝許可權提升、代碼執行漏洞

據外媒BleepingComputer報道，來自華碩（ASUS）和技嘉（GIGABYTE）的四個驅動程序均存在多個漏洞，而攻擊者可以利用這些漏洞來提升許可權，以及執行任意代碼。

報道稱，共有7個影響到5款軟體產品的漏洞被發現。此外，發現這些漏洞的研究人員已經針對每一款軟體產品都編寫了漏洞利用代碼，而其中多個漏洞到目前為止仍然沒有被修復。

其中兩個易受攻擊的驅動程序是由華碩的Aura Sync軟體（v1.07.22及更早版本）安裝的，它們攜帶的漏洞可用於執行任意代碼。

來自技嘉的易受攻擊驅動程序是與同一品牌的主板和顯卡，以及技嘉子公司AORUS生產的主板和顯卡捆綁在一起。存在於這些驅動程序中的漏洞能夠導許可權提升，受影響的軟體產品包括：GIGABYTE App Center（v1.05.21及更早版本）、AORUS Graphics Engine（v1.33及及更早版本）、XTREME Engine utility（v1.25及更早版本）和OC Guru II（v2.08）。

在華碩GLCKIo和Asusgio驅動程序中發現了三個漏洞

Aura Sync是一種實用程序，它能夠讓所有與主板、顯卡和外設（鍵盤、滑鼠）等兼容的產品使用的RGB燈條同步工作，從而使用戶獲得個性化的遊戲體驗。

當Aura Sync被安裝到系統時，同時被安裝的還有GLCKIo和Asusgio驅動程序。而這兩個驅動程序都存在安全漏洞CVE-2018-18537、CVE-2018-18536和CVE-2018-18535，這些漏洞允許攻擊者執行任意代碼。

報道稱，這些漏洞是由SecureAuth公司的Diego Juarez發現的。他在周二發布的一份報告中表示，該公司已經負責任地向華碩披露了這些漏洞。但從華碩後續發布的兩個Aura Sync新版本來看，其中兩個漏洞仍然沒有被修復。

第一個漏洞CVE-2018-18537，存在於GLCKIo驅動程序中，它可以通過向任意地址寫入任意「double word（DWORD）」來利用。為了證明這個漏洞的有效性，研究人員創建了一段概念驗證（PoC）代碼，最終觸發了系統崩潰。

第二個漏洞CVE-2018-18536，同時存在於GLCKIo和Asusgion驅動程序中，它暴露了一種能夠從IO埠讀/寫數據的方式。Juarez表示：「這可以通過多種方式來加以利用，最終能夠以提升後的許可權來運行代碼。」

Juarez同樣使用PoC代碼展示了這個漏洞可能帶來的影響。比如，在測試中就導致了計算機重啟。不過，Juarez表示該漏洞所帶來的影響遠不止於此，它實際上要更加危險。

第三個漏洞CVE-2018-18535是在Asusgio驅動程序中發現的，它同樣暴露了一種讀/寫方法，但並非是從IO埠，而是從Model-specific register（MSR）。攻擊者可以利用它來運行具有最高許可權（ring-0，保留給操作系統內核）的代碼。

MSR是x86架構中的概念，指的是在x86架構處理器中，一系列用於控制CPU運行、功能開關、調試、跟蹤程序執行、監測CPU性能等方面的寄存器。這些寄存器可以通過特權指令「rdmsr」和「wrmsr」來訪問，但這些指令只能通過具有ring-0級許可權的代碼執行。

來自Juarez的PoC證實，存在於Asusgio驅動程序中的CVE-2018-18535漏洞允許攻擊者通過泄漏繞過內核地址空間布局隨機化（KASLR）的內核函數指針來訪問MSR寄存器，導致的結果是BSOD（藍屏死機）。

與華碩的溝通沒有取得很好的效果

根據SecureAuth公布的披露時間表，與華碩的溝通是從2017年11月份開始的。華碩於2018年2月2日對漏洞進行了確認，並在19天後表示將於4月份對Aura Sync實用程序進行更新。

3月26日，華碩告知SecureAuth漏洞已經得到解決。SecureAuth表示，這也是華碩最後的回復。

當該公司注意到於4月份發布的Aura Sync新版本仍然包含這些漏洞時，該公司立馬要求華碩進行解釋。該軟體的後續版本於5月份發布，但經SecureAuth確認，華碩只修復了三個漏洞中的一個。

在技嘉GPCIDrv和GDrv驅動程序中發現了四個漏洞

Juarez還分析了技嘉的GPCIDrv和GDrv驅動程序，發現它們可以接收來自非特權用戶進程的系統調用，甚至是那些以低完整性級別運行的進程。

他發現的第一個漏洞，現在被追蹤為CVE-2018-19320，為攻擊者提供了完全控制系統的可能性。

為了證明這一點，Juarez也為GDrv驅動程序創建了一段PoC代碼。事實證明，非特權用戶也能夠讀/寫任意虛擬內存。由於是出於演示目的，因此這段PoC代碼同樣只會觸發系統崩潰，而該漏洞能夠造成的破壞遠不止於此。

第二個漏洞是CVE-2018-19322，暴露了一種使用非特權訪問從輸入/輸出埠讀/寫數據的方法。技嘉的GPCIDrv和GDrv驅動程序均被發現存在這個漏洞，使得攻擊者能夠獲取到更高的許可權。同樣，Juarez編寫的PoC代碼只會導致計算機重新啟動，但只需進行修改就能導致更嚴重的後果。

GDrv驅動程序也暴露了一種能夠使用非特權指令來訪問MSR寄存器的方法，允許攻擊者使用ring-0級許可權執行任意代碼。該漏洞被標識為CVE-2018-19323，允許攻擊者通過泄漏繞過內核地址空間布局隨機化（KASLR）的內核函數指針來訪問MSR寄存器，PoC代碼能夠導致BSOD（藍屏死機）。

根據SecureAuth的研究，在GPCIDrv和GDrv驅動程序中均存在漏洞CVE-2018-19321。這是一個內存損壞漏洞，允許攻擊者完全控制受影響的系統。

提供給BleepingComputer的PoC是無害的，因為它只會觸發計算機崩潰，但正如前面所說的那樣，只需對代碼進行一定的修改，就能夠導致更嚴重的後果。

根據 SecureAuth 公布的披露時間表，該公司於2018年4月24日向技嘉披露了這些漏洞，並在6天後收到回復。但在經過幾次電子郵件交流之後並沒有取得任何成果，因為技嘉回應稱，其產品並不受 SecureAuth所披露漏洞的影響。

與技嘉的溝通也是徒勞

SecureAuth公布的披露時間表表明，儘管收到了技術說明和演示用的漏洞利用代碼，但技嘉並沒有對上述漏洞進行修復。

「在2018年5月份，技嘉技術支持團隊回復稱，技嘉是一家硬體公司，不是一家專業的軟體公司。他們要求我們提供具體的技術細節和教程，以便能夠對漏洞進行驗證。」SecureAuth透露。

SecureAuth還表示「技嘉在最後一次回復中完全否定了這些漏洞，因為技嘉回復稱，其項目主管和工程師認為，其產品並不受我們所披露的漏洞的影響。」

本文由 黑客視界 綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。