Alcuni software e driver di Asus e Gigabyte hanno diverse vulnerabilità che possono essere sfruttate da malintenzionati per ottenere privilegi più alti ed eseguire del codice arbitrario sui computer. In totale si parla di sette falle di sicurezza che coinvolgono cinque software. A scoprirle i ricercatori di SecureAuth (come riportato da Bleeping Computer), che non solo le hanno identificate, ma hanno anche scritto del codice exploit per ogni falla.
Per quanto concerne Asus, due dei driver vulnerabili (GLCKIo e Asusgio) sono installati dal software Aura Sync (v1.07.22 e precedenti) e consentono di avviare del codice in locale. Sul fronte Gigabyte, le falle permettono l'elevazione dei privilegi tramite software come Gigabyte App Center (v1.05.21 e precedenti), Aorus Graphics Engine (v1.33 e precedenti), Xtreme Engine utility (v1.25 e precedenti) e OC Guru II (v2.08).
Come noto, l'utility Aura Sync consente agli utenti di sincronizzare l'illuminazione di strisce e led collegati e/o presenti su diversi prodotti di casa Asus, dalle motherboard alle schede video, fino alle periferiche. Quando s'installa il software, questo necessita anche dei driver GLCKIo e Asusgio, che hanno tre falle di sicurezza indicate dai bollettini CVE-2018-18537, CVE-2018-18536 e CVE-2018-18535.
Diego Juarez, ricercatore e scrittore di exploit per SecureAuth, ha scoperto e studiato le falle, comunicandole ad Asus seguendo le buone pratiche fissate dall'industria di sicurezza. Sembra tuttavia che nonostante la pubblicazione di due nuove versioni di Aura Sync, Asus abbia lasciato due falle aperte - CVE-2018-18537 e CVE-2018-18536.
"CVE-2018-18537 può essere sfruttata tramite il driver GLCKIo scrivendo un DWORD arbitrario verso un indirizzo arbitrario", spiega Juarez. I ricercatori hanno pubblicato anche un proof-of-concept (PoC) che manda in crash il sistema. Il secondo problema, CVE-2018-18536, "è presente tanto in GLCKIo quanto in Asusgio ed espone un modo che permette la lettura e la scrittura di dati da e verso le porte IO. Ciò può essere sfruttato in diversi modi per far girare codice con privilegi elevati", ha dichiarato SecureAuth. Anche in questo caso è stato creato un PoC che ha innescato il riavvio del computer, anche se il problema potrebbe portare a danni maggiori.
In base a quanto affermato da SecureAuth, i contatti con Asus sono iniziati nel novembre dello scorso anno. Asus ha preso contezza delle vulnerabilità il 2 febbraio 2018, e 19 giorni dopo ha detto che avrebbe aggiornato l'utility Aura Sync ad aprile. Il 26 marzo l'azienda taiwanese ha informato SecureAuth della risoluzione delle falle, e quella è stata l'ultima comunicazione. Purtroppo, SecureAuth ha verificato che le falle sono ancora presenti, in quanto ne è stata risolta una sola con una versione del software pubblicata a maggio.
Juarez ha anche analizzato i driver GPCIDrv e GDrv di Gigabyte, presenti nei software citati in precedenza, e riscontrato che possono ricevere chiamate di sistema da processi utente senza privilegi, anche a quelli a basso livello di integrità, considerati da Windows per l'esecuzione di codice non attendibile. La prima vulnerabilità - indicata nel bollettino CVE-2018-19320 - consente a un malintenzionato di prendere pieno controllo di un sistema. Juarez si è tuttavia limitato a creare un PoC che innesca un crash di sistema.
Il secondo bug, identificato come CVE-2018-19322, espone un modo per usare un accesso senza privilegi per leggere e scrivere dati da e verso le porte IO. Questo problema riguarda entrambi i driver di Gigabyte e permette a un malintenzionato di aumentare i propri privilegi sul sistema. Un codice exploit dimostrativo creato da Juarez si limita a riavviare il computer.
Il problema CVE-2018-19323, invece, è insito nel driver GDrv e consente di far girare codice arbitrario con permessi ring-0, accedendo ai registri MSR da un livello non privilegiato. Un exploit creato appositamente è stato in grado di innescare un BSOD - una schermata blu. Entrambi i driver sono inoltre vulnerabili a CVE-2018-19321, un glitch che innesca la corruzione della memoria e dà a un malintenzionato pieno controllo sul sistema.
SecureAuth dice di aver provato a contattare Gigabyte il 24 aprile, ricevendo risposta sei giorni dopo. Dopo alcuni scambi di email che non hanno portato a un esito positivo, Gigabyte avrebbe risposto che i suoi prodotti non erano affetti dalle vulnerabilità indicate. A maggio "il supporto tecnico di Gigabyte ha risposto che Gigabyte è un'azienda hardware e non sono specializzati nel software. Hanno richiesto dettagli tecnici e tutorial per verificare le falle", ha sottolineato SecureAuth. Le falle riportate dai ricercatori sono quindi ancora presenti nei software dell'azienda.