CVE-2018-19323

GIGABYTE Multiple Products

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-10-24

Официальное описание

The GPCIDrv and GDrv low-level drivers in GIGABYTE App Center, AORUS Graphics Engine, XTREME Gaming Engine, and OC GURU expose functionality to read and write arbitrary physical memory. This could be leveraged by a local attacker to elevate privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2018-19323 представляет собой критическую уязвимость в низкоуровневых драйверах GPCIDrv.sys и GDrv.sys, которые входят в состав программного обеспечения GIGABYTE. Проблема заключается в небезопасном проектировании драйверов, которые предоставляют интерфейс для чтения и записи произвольной физической памяти.

Локальный злоумышленник с низкими привилегиями может отправить специально сформированные IOCTL-запросы к этим драйверам. Это позволяет обойти механизмы защиты ядра (Kernel Patch Protection), выполнить произвольный код с правами SYSTEM и полностью скомпрометировать операционную систему. Фактически, драйверы действуют как легитимный «бэкдор» для доступа к памяти.

Как исправить

Основным способом устранения уязвимости является полное удаление уязвимых версий ПО и установка обновленных версий, в которых данные драйверы заменены или исправлены.

  1. Удалите через «Установку и удаление программ» следующие приложения (если они установлены):
  2. GIGABYTE App Center
  3. AORUS Graphics Engine
  4. XTREME Gaming Engine

  5. OC GURU

  6. Перезагрузите систему, чтобы выгрузить драйверы из памяти.

  7. Убедитесь, что файлы GPCIDrv.sys и GDrv.sys удалены из системных директорий (обычно в C:\Windows\Temp\ или папках приложений в Program Files).

  8. Скачайте последние версии ПО с официального сайта GIGABYTE. Для управления видеокартами используйте актуальный AORUS ENGINE или GIGABYTE Control Center (GCC), где данные уязвимости были закрыты.

Временные меры

Если немедленное обновление ПО невозможно, необходимо ограничить возможность эксплуатации уязвимости:

  1. Принудительно остановите и удалите службы, связанные с уязвимыми драйверами, через PowerShell (от имени администратора):
sc stop GDrv


sc delete GDrv

  1. Включите функцию «Изоляция ядра» (VBS) и «Целостность памяти» (HVCI) в настройках безопасности Windows. Это затруднит эксплуатацию уязвимостей уровня ядра.

  2. Настройте политики Windows Defender Application Control (WDAC) или используйте черный список драйверов Microsoft (Microsoft Driver Blocklist), чтобы запретить загрузку скомпрометированных драйверов по их хеш-суммам.

  3. Проверьте наличие остаточных файлов драйверов в папке Temp и удалите их:

Remove-Item "C:\Windows\Temp\GDrv.sys" -Force


Remove-Item "C:\Windows\Temp\GPCIDrv.sys" -Force
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей