CVE-2018-19322

GIGABYTE Multiple Products

ВЕРОЯТНОСТЬ 2.9%
Дата обнаружения

2022-10-24

Официальное описание

The GPCIDrv and GDrv low-level drivers in GIGABYTE App Center, AORUS Graphics Engine, XTREME Gaming Engine, and OC GURU II expose functionality to read/write data from/to IO ports. This could be leveraged in a number of ways to ultimately run code with elevated privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2018-19322 представляет собой критическую уязвимость в низкоуровневых драйверах GPCIDrv.sys и GDrv.sys, которые поставляются вместе с программным обеспечением GIGABYTE (App Center, AORUS Graphics Engine и др.).

Проблема заключается в небезопасном проектировании драйверов: они предоставляют любому пользователю системы (даже с минимальными привилегиями) прямой доступ к операциям чтения и записи в порты ввода-вывода (I/O ports). Злоумышленник может использовать этот доступ для взаимодействия с аппаратным обеспечением, манипуляции памятью ядра или изменения регистров управления, что в конечном итоге позволяет выполнить произвольный код с правами уровня ядра (Ring 0) и полностью скомпрометировать систему.

Как исправить

Основным способом устранения является полное удаление уязвимых компонентов и установка обновленных версий ПО, в которых данные драйверы были заменены или исправлены.

  1. Удалите установленное ПО GIGABYTE через «Панель управления» -> «Программы и компоненты». Это касается следующих утилит:
  2. GIGABYTE App Center
  3. AORUS Graphics Engine
  4. XTREME Gaming Engine

  5. OC GURU II

  6. Убедитесь, что драйверы GPCIDrv.sys и GDrv.sys удалены из системных директорий. Проверьте пути:

  7. C:\Windows\gdrv.sys

  8. C:\Windows\gpcidrv.sys

  9. Скачайте последние версии утилит с официального сайта поддержки GIGABYTE для вашей модели материнской платы или видеокарты.

  10. Установите обновленное ПО. В новых версиях механизмы взаимодействия с драйверами были пересмотрены для предотвращения несанкционированного доступа.

Временные меры

Если немедленное обновление ПО невозможно, необходимо ограничить риски эксплуатации уязвимости следующими методами:

  1. Принудительная остановка и удаление службы драйвера через командную строку с правами администратора:
sc stop GDrv


sc delete GDrv

  1. Включение функции «Изоляция ядра» (VBS) и «Целостность памяти» (HVCI) в настройках Windows (Безопасность Windows -> Безопасность устройства -> Сведения об изоляции ядра). Это блокирует загрузку драйверов с известными уязвимостями.

  2. Использование черного списка драйверов Microsoft (Microsoft Driver Blocklist). Убедитесь, что в системе включена функция блокировки уязвимых драйверов:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\CI\Config" /v "VulnerableDriverBlocklistEnable" /t REG_DWORD /d 1 /f
  1. Ограничение прав пользователей: убедитесь, что рабочие процессы не запускаются с правами администратора, так как это упрощает эксплуатацию цепочки векторов атаки.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей