1、基本情况
ASRock RGBLED和其它华擎品牌实用程序安装的AsrDrv101.sys和AsrDrv102.sys驱动程序中存在一系列安全漏洞。通过利用这些漏洞,本地攻击者可以提升本地权限,执行内核任意代码,该漏洞由IOCTL的权限检查不足导致。
2、攻击原理
驱动程序用于编程和查询嵌入式集成电路的状态。因此,应用程序可以访问风扇性能曲线,时钟频率,LED颜色,热性能以及其他用户可自定义的属性和监视功能。但是其中一些特定的IOCTL调用没有进行权限检查,导致存在4个高危漏洞,如下:
CVE-2018-10709:驱动程序中特定的IOCTL控制码( IOCTL_ASROCK_READCR 0x22286C, IOCTL_ASROCK_WRITECR 0x222870),可对CR寄存器的读写,可以导致本地权限提升。
CVE-2018-10710:驱动程序中特定的IOCTL控制码(IOCTL_ASROCK_WRITEPH 0x22280C),可以读写任意地址内存物理地址,可以导致本地权限提升。
CVE-2018-10711:驱动程序中特定的IOCTL控制码(IOCTL_ASROCK_RDMSR 0x222848, IOCTL_ASROCK_WRMSR 0x22284C),可以读写MSR寄存器,可导致执内核层任意代码执行。
CVE-2018-10712:驱动程序中特定的IOCTL控制码(IOCTL_ASROCK_PORTREADB 0x222810,IOCTL_ASROCK_PORTWRITEB 0x222814),可以读写IO端口,可以导致本地权限提升。
3、影响范围
ASRock RGBLED v1.0.35.1之前版本
A-Tuning v3.0.210之前版本
F-Stream v3.0.210之前版本
RestartToUEFI v1.0.6.2之前版本
4、处置建议
1)最终用户和系统管理员应与其系统制造商和系统软件供应商联系,并尽快应用任何可用的更新。
2)华擎针对其每个主板型号发布了以下版本应用程序:
ASRock RGBLED v1.0.36版本
Tuning v3.0.216版本
F-Stream v3.0.216版本
RestartToUEFI v1.0.7版本
可在华擎网站上下载:
http://www.asrock.cn/support/index.cn.asp?cat=Drivers。
5、 参考链接
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10709
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10710
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10711
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10712