华硕、技嘉多款硬件驱动被爆代码执行漏洞，PoC已发布

华硕和技嘉科技公司的四款硬件驱动程序中被曝存在多个漏洞，可被攻击者用于获取更高的系统权限并执行任意代码。

总体而言，共有5款软件产品受7个漏洞的影响，研究人员已为每个漏洞编写 PoC 代码，其中很多漏洞可能尚未被修复。

其中两款易受攻击的驱动是由华硕 Aura Sync 软件（v1.07.22 及更早版本）安装的，其中包含的权限可被用于执行本地代码。

技嘉 (GIGABYTE) 公司的驱动器是和技嘉主板和显卡、以及该公司的子公司AORUS 发布的。这些漏洞导致通过软件如 GIGABYTE App Center （v1.05.21及以下版本）、AORUS Graphics Engine（v1.33及以下版本）、XTREME Engine 工具（v1.25 及更早版本）以及 OC Guru II (v2.08) 提升权限。

华硕 GLCKIo 和 Asusgio 驱动被曝三个 bug

Aura Sync 工具可使用户通过与主板、显卡和外围设备（键盘、鼠标）等兼容产品一起使用的 RGB 条带同步照明，使用户获得个性化的游戏体验。

在添加至系统时，Aura Sync 还同时安装 GLCKIo 和Asusgio 驱动，而这些驱动易受 CVE-2018-18537、CVE-2018-18536 和 CVE-2018-18535 漏洞的影响，从而导致代码执行。

SecureAuth 公司的漏洞利用作者 Diego Juarez 发现并研究了这些漏洞；该公司负责任地将漏洞披露，但该公司发现华硕公司发布两个 Aura Sync 新版本后仍然未解决两个漏洞问题。

可通过向任意地址写入任意”double word”的方式利用 GLCKIo 驱动中的CVE-2018-18537 漏洞。研究人员已创建 PoC 演示该漏洞，结果是漏洞可导致系统崩溃。

第二个漏洞 CVE-2018-18536 同时存在于 GLCKIo 和Asusgion 驱动器中，可导致允许从 IO 端口读取和写入数据。SecureAuth 公司认为该漏洞的利用方式有很多，最终可导致以提升的权限执行代码。

研究人员也通过 PoC 演示了该漏洞的影响如计算机被重启，但实际上可能带来更严重的后果。

CVE-2018-18535存在于 Asusgio 中，它暴露了一种模型专用寄存器 (MSR) 的读/写方法。它可被用于以最高权限（ring-0，即为操作系统保留的权限）运行任意代码。

MSR 是 CPU 架构特有的控制寄存器，提供对 CPU 调试功能、性能监控或程序执行跟踪功能的访问权限。这些功能可通过权限指令‘rdmsr’和‘wrmsr’指令访问，而这些指令仅可由具有 ring-0 权限级别的代码访问。

研究人员在 PoC 中指出，可通过泄漏绕过内核地址空间布局随机化 (KASLR) 的内核函数指针利用CVE-2018-18535不安全地访问 MSR，从而导致蓝屏死机的结果。

沟通不畅

从SecureAuth 公司发布的时间轴来看，和华硕的沟通时间始于2017年11月。华硕公司在2018年2月2日证实漏洞初稿报告，19天后表示将在4月份更新 Aura Sync。

3月26日，华硕通知 SecureAuth 公司表示漏洞问题已解决，据 SecureAuth 公司表示这是双方最后一次沟通。

SecureAuth 公司发现4月发布的版本中仍然含有安全缺陷，并要求华硕公司澄清。之后5月份软件发布新版本，但SecureAuth 公司表示仅解决了其中一个漏洞，还有两个仍未解决。

技嘉驱动可导致和非权限进程交互

Juarez 还分析了几家公司的 GPCIDrv 和 GDrv 驱动，并发现能从非权限用户进程中接收系统调用，即使这些进程以低完整性级别运行（被 Windows 认为是不受信任的）也不例外。

他发现的第一个漏洞是 CVE-2018-19320，很有可能被攻击者用于完全控制系统。为证明该漏洞的危害，Juarez 为 GDrv 创建了一个 PoC，任意虚拟内存拥有非权限读/写访问权限。由于是演示性质，代码仅做了一个系统崩溃演示。

第二个漏洞是 CVE-2018-19322，它暴露了向输入/输出端口读取并写入的非权限访问权限方式。该漏洞同时影响技嘉公司的这两款驱动，并可导致攻击者提升在系统上的权限。Juarez 的利用代码虽然近演示了计算机重启的后果，但实际上可造成更严重的后果。

以非权限级别访问 MSR 注册表的方式也遭 GDrv 暴露，很可能导致以 ring-0 权限执行任意代码。该漏洞 CVE-2018-19323 已通过 PoC 演示，可可导致蓝屏死机的结果，是通过暴露内核函数指针并绕过 KASLR 保护措施实现的。

SecureAuth 公司指出，GPCIDrv 和 GDrv 均易受 CVE-2018-19321 的影响。该漏洞是一个内存损坏漏洞，可导致攻击者完全控制受影响系统。PoC 显示可导致计算机崩溃等。

从SecureAuth 发布的安全公告的时间轴来看，该公司试图和技嘉公司在2018年4月24日进行沟通。6天后，技嘉公司回复。几次沟通后，技嘉公司表示产品并未受已披露漏洞的影响。

沟通无果

从SecureAuth 公司发布的时间轴来看，技嘉公司并未修复以上提及的任何问题，虽然已经接受了研究人员提交的技术详情和演示利用代码。

SecureAuth 公司表示，2018年4月，“技嘉技术支持团队回复称技嘉公司是一家硬件公司，而非软件公司。他们要求获取技术详情和指南验证漏洞的真实性。”

最后结果是，技嘉公司完全否认了这些漏洞的存在，“技嘉公司的产品经理和工程师表示，本公司产品并未受已报告漏洞的影响”。

本文由360代码卫士翻译自BleepingComputer

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。