华硕和技嘉驱动被曝多个 0day 代码执行漏洞拒修复，PoC 已发布

作者：Lindsey O'Donnell

华硕和技嘉科技公司的四款驱动器中被曝存在多个漏洞，可被攻击者用于获取更高的系统权限并执行任意代码。

总体而言，共有5款软件产品受7个漏洞的影响，研究人员已为每个漏洞编写 PoC 代码，其中很多漏洞可能尚未被修复。

其中两款易受攻击的驱动是由华硕 Aura Sync 软件（v1.07.22 及更早版本）安装的，其中包含的权限可被用于执行本地代码。

技嘉 (GIGABYTE) 公司的驱动器是和技嘉主板和显卡、以及该公司的子公司AORUS 发布的。这些漏洞导致通过软件如 GIGABYTE App Center （v1.05.21及以下版本）、AORUS Graphics Engine（v1.33及以下版本）、XTREME Engine 工具（v1.25 及更早版本）以及 OC Guru II (v2.08) 提升权限。

Aura Sync 工具可使用户通过与主板、显卡和外围设备（键盘、鼠标）等兼容产品一起使用的 RGB 条带同步照明，使用户获得个性化的游戏体验。

在添加至系统时，Aura Sync 还同时安装 GLCKIo 和Asusgio 驱动，而这些驱动易受 CVE-2018-18537、CVE-2018-18536 和 CVE-2018-18535 漏洞的影响，从而导致代码执行。

SecureAuth 公司的漏洞利用作者 Diego Juarez 发现并研究了这些漏洞；该公司负责任地将漏洞披露，但该公司发现华硕公司发布两个 Aura Sync 新版本后仍然未解决两个漏洞问题。

可通过向任意地址写入任意”double word”的方式利用 GLCKIo 驱动中的CVE-2018-18537 漏洞。研究人员已创建 PoC 演示该漏洞，结果是漏洞可导致系统崩溃。

第二个漏洞 CVE-2018-18536 同时存在于 GLCKIo 和Asusgion 驱动器中，可导致允许从 IO 端口读取和写入数据。SecureAuth 公司认为该漏洞的利用方式有很多，最终可导致以提升的权限执行代码。

研究人员也通过 PoC 演示了该漏洞的影响如计算机被重启，但实际上可能带来更严重的后果。

CVE-2018-18535存在于 Asusgio 中，它暴露了一种模型专用寄存器 (MSR) 的读/写方法。它可被用于以最高权限（ring-0，即为操作系统保留的权限）运行任意代码。

MSR 是 CPU 架构特有的控制寄存器，提供对 CPU 调试功能、性能监控或程序执行跟踪功能的访问权限。这些功能可通过权限指令‘rdmsr’和‘wrmsr’指令访问，而这些指令仅可由具有 ring-0 权限级别的代码访问。

研究人员在 PoC 中指出，可通过泄漏绕过内核地址空间布局随机化 (KASLR) 的内核函数指针利用CVE-2018-18535不安全地访问 MSR，从而导致蓝屏死机的结果。

从SecureAuth 公司发布的时间轴来看，和华硕的沟通时间始于2017年11月。华硕公司在2018年2月2日证实漏洞初稿报告，19天后表示将在4月份更新 Aura Sync。

3月26日，华硕通知 SecureAuth 公司表示漏洞问题已解决，据 SecureAuth 公司表示这是双方最后一次沟通。

SecureAuth 公司发现4月发布的版本中仍然含有安全缺陷，并要求华硕公司澄清。之后5月份软件发布新版本，但SecureAuth 公司表示仅解决了其中一个漏洞，还有两个仍未解决。

Juarez 还分析了几家公司的 GPCIDrv 和 GDrv 驱动，并发现能从非权限用户进程中接收系统调用，即使这些进程以低完整性级别运行（被 Windows 认为是不受信任的）也不例外。

他发现的第一个漏洞是 CVE-2018-19320，很有可能被攻击者用于完全控制系统。为证明该漏洞的危害，Juarez 为 GDrv 创建了一个 PoC，任意虚拟内存拥有非权限读/写访问权限。由于是演示性质，代码仅做了一个系统崩溃演示。

第二个漏洞是 CVE-2018-19322，它暴露了向输入/输出端口读取并写入的非权限访问权限方式。该漏洞同时影响技嘉公司的这两款驱动，并可导致攻击者提升在系统上的权限。Juarez 的利用代码虽然近演示了计算机重启的后果，但实际上可造成更严重的后果。

以非权限级别访问 MSR 注册表的方式也遭 GDrv 暴露，很可能导致以 ring-0 权限执行任意代码。该漏洞 CVE-2018-19323 已通过 PoC 演示，可可导致蓝屏死机的结果，是通过暴露内核函数指针并绕过 KASLR 保护措施实现的。

SecureAuth 公司指出，GPCIDrv 和 GDrv 均易受 CVE-2018-19321 的影响。该漏洞是一个内存损坏漏洞，可导致攻击者完全控制受影响系统。PoC 显示可导致计算机崩溃等。

从SecureAuth 发布的安全公告的时间轴来看，该公司试图和技嘉公司在2018年4月24日进行沟通。6天后，技嘉公司回复。几次沟通后，技嘉公司表示产品并未受已披露漏洞的影响。

从SecureAuth 公司发布的时间轴来看，技嘉公司并未修复以上提及的任何问题，虽然已经接受了研究人员提交的技术详情和演示利用代码。

SecureAuth 公司表示，2018年4月，“技嘉技术支持团队回复称技嘉公司是一家硬件公司，而非软件公司。他们要求获取技术详情和指南验证漏洞的真实性。”

最后结果是，技嘉公司完全否认了这些漏洞的存在，“技嘉公司的产品经理和工程师表示，本公司产品并未受已报告漏洞的影响”。

原文链接

https://www.bleepingcomputer.com/news/security/asus-gigabyte-drivers-contain-code-execution-vulnerabilities-pocs-galore/

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士 www.codesafe.cn”。