GPU-Z expose une grave vulnérabilité de sécurité, les pirates peuvent obtenir les privilèges les plus élevés du système

Le chercheur en sécurité Impulsive a révélé que GPU-Z, un outil de surveillance matérielle largement utilisé par les joueurs sur PC du monde entier, présente de graves failles de sécurité.Son pilote TRIXX.sys intégré peut lire et écrire directement la mémoire physique de l'ordinateur sans autorisations d'administrateur, permettant aux attaquants d'obtenir les droits d'accès les plus élevés au système.

Le cœur de la vulnérabilité réside dans le code de contrôle IOCTL 0x800060C4 dans le pilote TRIXX.sys. Ce code de contrôle était à l'origine utilisé pour lire les informations matérielles de la carte graphique, mais le seuil d'autorisation est extrêmement bas. N'importe quel programme ordinaire du système peut envoyer des instructions au pilote.

En appelant la fonction du noyau système HalSetBusDataByOffset, l'attaquant peut redéfinir le PCI BAR (registre d'adresses de base) et contourner directement la défense du niveau d'autorisation du logiciel (Ring 3).Lisez ou modifiez les données de la mémoire physique, y compris les mots de passe, les clés de chiffrement et les mécanismes de protection de base du système d'exploitation.

Ce qui est encore plus gênant, c'est que le pilote détient une signature numérique légale EV (Extended Validation), valable jusqu'en 2028. Le système Windows la traitera comme un fichier totalement fiable.

Cela signifie que les pirates n'ont pas besoin d'attaquer directement les utilisateurs qui ont installé GPU-Z. Au lieu de cela, ils peuvent apporter cet ancien pilote vulnérable mais légitimement signé sur l'ordinateur cible, mener des attaques BYOVD et contourner les blocs de sécurité Windows.

Wizzard, l'auteur de GPU-Z, a admis que certains détails techniques ont une valeur de référence, mais a rétorqué que dans l'environnement Windows, les programmes utilisateur ordinaires ne peuvent pas communiquer directement avec le pilote et doivent disposer des droits d'administrateur pour le déclencher.

Wizzard corrige actuellement la vulnérabilité. Veuillez l'utiliser avec prudence avant le lancement de la nouvelle version. Étant donné que cette vulnérabilité nécessite une exécution locale, tant que l'utilisateur n'exécute pas de fichiers suspects, les pirates ne pourront pas exploiter GPU-Z sur l'ordinateur.