CVE-2018-19320

GIGABYTE Multiple Products

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-10-24

Официальное описание

The GDrv low-level driver in GIGABYTE App Center, AORUS Graphics Engine, XTREME Gaming Engine, and OC GURU II exposes ring0 memcpy-like functionality that could allow a local attacker to take complete control of the affected system.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2018-19320 представляет собой критическую уязвимость в низкоуровневом драйвере GDrv.sys (и его вариациях), который поставляется с программным обеспечением GIGABYTE. Проблема заключается в том, что драйвер предоставляет интерфейс для выполнения операций чтения и записи в произвольные области памяти ядра (Ring 0) через функции, аналогичные memcpy.

Поскольку драйвер не ограничивает доступ к этим операциям, локальный пользователь с низкими привилегиями может отправить специально сформированные IOCTL-запросы. Это позволяет злоумышленнику перезаписать структуры данных ядра, выполнить произвольный код с правами системы и полностью скомпрометировать ОС, обходя механизмы защиты (например, Driver Signature Enforcement).

Как исправить

Основной метод исправления — полное удаление уязвимого программного обеспечения и связанных с ним драйверов, так как производитель выпустил обновленные версии утилит, в которых данные функции были пересмотрены или удалены.

  1. Удалите через «Установку и удаление программ» следующие приложения (если они установлены):
  2. GIGABYTE App Center
  3. AORUS Graphics Engine
  4. XTREME Gaming Engine

  5. OC GURU II

  6. Проверьте наличие остаточных файлов драйвера в системных директориях и удалите их:

Remove-Item -Path "C:\Windows\gdrv.sys" -Force


Remove-Item -Path "C:\Windows\gdrv2.sys" -Force
  1. Установите актуальные версии ПО с официального сайта GIGABYTE, если их использование необходимо. Убедитесь, что версия драйвера GDrv.sys была обновлена (версии после 2018-2019 гг. считаются исправленными).

Временные меры

Если немедленное удаление ПО невозможно, необходимо ограничить возможность эксплуатации уязвимости.

  1. Принудительная остановка и удаление службы драйвера через командную строку:
sc stop gdrv


sc delete gdrv
  1. Использование функции Microsoft «Блокировка уязвимых драйверов» (Microsoft Vulnerable Driver Blocklist). Убедитесь, что в настройках «Безопасность Windows» включена изоляция ядра:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\CI\Config" /v "VulnerableDriverBlocklistEnable" /t REG_DWORD /d 1 /f
  1. Настройка аудита создания процессов и мониторинг подозрительных IOCTL-вызовов к драйверам через системы класса EDR/SIEM для обнаружения попыток эксплуатации в реальном времени.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей