安全研究人员 Impulsive 在最近的一次报告中披露,GPU-Z 这款被众多电脑用户使用的硬件监控工具,存在可导致本地权限提升的安全漏洞。
研究发现,GPU-Z 内集成的合法驱动文件 TRIXX.sys 能够不经管理权限批准,就对电脑的物理内存进行读写访问,潜在攻击者可借此取得对系统的最高控制权。
漏洞源于驱动程序中的一个 I/O 控制码 IOCTL 0x800060C4,这一机制通常是为了向应用程序提供显卡硬件信息而设计的。然而因其权限设限过松,使任意用户模式(Ring 3)应用程序都能向其传送命令。攻击者可通过内核函数 HalSetBusDataByOffset 调整 PCI BAR(基本址寄存器),从而突破正常的操作系统内存保护机制,间接窃取或篡改内存中信息。
值得担忧的是,这款具备漏洞的驱动程序目前还带有微软信任的扩展验证(EV)数字签名,使其能在 Windows 操作系统中被标识为完全可信任。因此恶意用户即使不在目标系统内安装 GPU-Z,也可以将这个被签发到2028年的旧版本合法签名驱动程序引入系统,实施“自带驱动程序”攻击,回避 Windows Defender 等安全软件的拦截。
对于漏洞的发现,GPU-Z 创始人 Wizzard 虽表示部分技术论证有参考价值,却强调当前在 Windows 环境下,应用程序要取得向 TRIXX.sys 设备发送请求的能力,必须有管理员身份作为前提。同时他亦提醒用户不必过分担忧:此漏洞须在本地执行,只要不运行外来的可疑程序,就难以受黑客攻击。
目前 Wizzard 正着手修复该问题,新版本即将推出。在此之前,建议谨慎使用 GPU-Z,避免引入额外的安全风险。
