1、基本情况

　　ASRock RGBLED和其它华擎品牌实用程序安装的AsrDrv101.sys和AsrDrv102.sys驱动程序中存在一系列安全漏洞。通过利用这些漏洞，本地攻击者可以提升本地权限，执行内核任意代码，该漏洞由IOCTL的权限检查不足导致。

　　2、攻击原理

　　驱动程序用于编程和查询嵌入式集成电路的状态。因此，应用程序可以访问风扇性能曲线，时钟频率，LED颜色，热性能以及其他用户可自定义的属性和监视功能。但是其中一些特定的IOCTL调用没有进行权限检查，导致存在4个高危漏洞，如下：

　　 CVE-2018-10709：驱动程序中特定的IOCTL控制码（ IOCTL_ASROCK_READCR 0x22286C， IOCTL_ASROCK_WRITECR 0x222870），可对CR寄存器的读写，可以导致本地权限提升。

　　 CVE-2018-10710：驱动程序中特定的IOCTL控制码（IOCTL_ASROCK_WRITEPH 0x22280C），可以读写任意地址内存物理地址，可以导致本地权限提升。

　　 CVE-2018-10711：驱动程序中特定的IOCTL控制码（IOCTL_ASROCK_RDMSR 0x222848， IOCTL_ASROCK_WRMSR 0x22284C），可以读写MSR寄存器，可导致执内核层任意代码执行。

　　 CVE-2018-10712：驱动程序中特定的IOCTL控制码（IOCTL_ASROCK_PORTREADB 0x222810，IOCTL_ASROCK_PORTWRITEB 0x222814），可以读写IO端口，可以导致本地权限提升。

　　3、影响范围

　　ASRock RGBLED v1.0.35.1之前版本

　　A-Tuning v3.0.210之前版本

　　F-Stream v3.0.210之前版本

　　RestartToUEFI v1.0.6.2之前版本

　　4、处置建议

　　1)最终用户和系统管理员应与其系统制造商和系统软件供应商联系，并尽快应用任何可用的更新。

　　2)华擎针对其每个主板型号发布了以下版本应用程序：

　　 ASRock RGBLED v1.0.36版本

　　 Tuning v3.0.216版本

　　 F-Stream v3.0.216版本

　　 RestartToUEFI v1.0.7版本

　　可在华擎网站上下载：

　　http://www.asrock.cn/support/index.cn.asp?cat=Drivers。

　　5、 参考链接

　　https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10709

　　https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10710

　　https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10711

　　https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10712