安全研究員Impulsive披露,全球PC玩家廣泛使用的硬體監控工具GPU-Z存在嚴重安全漏洞。
其內置的TRIXX.sys驅動程序可在無需管理員權限的情況下,直接讀寫電腦物理記憶體,攻擊者可藉此獲取系統最高訪問權限。
漏洞的核心在於TRIXX.sys驅動程序中的控制碼IOCTL 0x800060C4,該控制碼原本用於讀取顯卡硬體資訊,但權限門檻極低,系統中任何普通程序均可向該驅動發送指令。
通過調用系統核心函數HalSetBusDataByOffset,攻擊者可以重新定義PCI BAR(基址寄存器),從軟體權限層級(Ring 3)直接跨越防禦,讀取或修改物理記憶體中的數據,包括密碼、加密密鑰以及作業系統核心保護機制。
GPU-Z is on basically every gaming PC on earth. TechPowerUp makes it. they also make Sapphire TRIXX. What I found is insane... both ship TRIXX.sys. IOCTL 0x800060C4 calls HalSetBusDataByOffset with user-controlled bus, device, function, and offset. any local process. no admin. reprogram any PCI BAR to any physical address. map it. arbitrary physical memory R/W from ring 3. a GPU info tool with the keys to your entire system. EV cert. valid through April 2028.
更棘手的是,該驅動程序持有合法的EV(Extended Validation)數碼簽名,有效期至2028年,Windows系統會將其視為完全可信的文件。
這意味著黑客無需直接攻擊已安裝GPU-Z的用戶,而是可以將這個有漏洞但合法簽名的舊版驅動帶入目標電腦,實施BYOVD攻擊,繞過Windows的安全封鎖。
GPU-Z作者Wizzard承認部分技術細節具有參考價值,但反駁稱在Windows環境下普通用戶程序無法直接與驅動通信,必須具備管理員權限才能觸發。
目前Wizzard正在修補漏洞,在新版本推出前請謹慎使用,由於此漏洞需要本地執行,用戶只要不執行可疑文件,黑客就無法利用電腦內的GPU-Z。
