GPU-Z expõe séria vulnerabilidade de segurança, hackers podem obter os mais altos privilégios do sistema

O pesquisador de segurança Impulsive revelou que o GPU-Z, uma ferramenta de monitoramento de hardware amplamente utilizada por jogadores de PC em todo o mundo, possui sérias vulnerabilidades de segurança.Seu driver TRIXX.sys integrado pode ler e gravar diretamente na memória física do computador sem permissões de administrador, permitindo que invasores obtenham os mais altos direitos de acesso ao sistema.

O núcleo da vulnerabilidade está no código de controle IOCTL 0x800060C4 no driver TRIXX.sys. Este código de controle foi originalmente usado para ler informações de hardware da placa gráfica, mas o limite de permissão é extremamente baixo. Qualquer programa comum do sistema pode enviar instruções ao driver.

Ao chamar a função do kernel do sistema HalSetBusDataByOffset, o invasor pode redefinir o PCI BAR (registro de endereço base) e ignorar diretamente a defesa do nível de permissão do software (Anel 3).Leia ou modifique dados na memória física, incluindo senhas, chaves de criptografia e mecanismos de proteção do núcleo do sistema operacional.

O que é ainda mais problemático é que o driver possui uma assinatura digital EV (Validação Estendida) legal, válida até 2028. O sistema Windows irá tratá-lo como um arquivo totalmente confiável.

Isso significa que os hackers não precisam atacar diretamente os usuários que instalaram o GPU-Z. Em vez disso, eles podem trazer esse driver antigo vulnerável, mas legitimamente assinado, para o computador de destino, realizar ataques BYOVD e contornar os bloqueios de segurança do Windows.

Wizzard, autor do GPU-Z, admitiu que alguns detalhes técnicos têm valor de referência, mas rebateu que no ambiente Windows, os programas de usuários comuns não podem se comunicar diretamente com o driver e devem ter direitos de administrador para acioná-lo.

Wizzard está atualmente corrigindo a vulnerabilidade. Use-o com cuidado antes do lançamento da nova versão. Como esta vulnerabilidade requer execução local, desde que o usuário não execute arquivos suspeitos, os hackers não poderão explorar o GPU-Z no computador.