ASUS se dejó dos vulnerabilidades sin parchear en su software de control RGB

En concreto, son cuatro drivers de ASUS y GIGABYTE los que contienen hasta siete vulnerabilidades presentes en cinco programas. Los investigadores consiguieron además escribir un exploit para cada una de ellas, y algunas siguen sin estar parcheadas a día de hoy.

Dos de las vulnerabilidades están presentes en el software Aura Sync (versión 1.07.22 y anterior), encargado de gestionar la iluminación RGB del PC para sincronizarla con tiras led y periféricos gaming. A través de ellas se puede ejecutar código de manera local. Al instalar Aura Sync, se instalan los drivers GLCKIo y Asusgio, vulnerables a tres fallos de seguridad identificados bajo CVE-2018-18537, CVE-2018-18536 y CVE-2018-18535.

ASUS actualizó el software, pero se dejó dos vulnerabilidades sin parchear. El primero de ellos, presente en el GLCKIo, permite escribir un DWORD arbitrario a una dirección arbitraria y colgar el sistema, aunque puede usar con otros fines aún peores. El segundo, presente en ambos drivers, permite escribir y leer datos de los puertos IO, pudiendo escalar privilegios.

Los fallos fueron descubiertos en noviembre de 2017, y para mayo sólo se había solucionado uno de los tres.

GIGABYTE directamente dijo que no existían esas vulnerabilidades

En el caso de GIGABYTE, los drivers se distribuyen tanto con sus tarjetas gráficas como con sus placas base, incluyendo los de su submarca AORUS. El software afectado permitía escalar privilegios con los cuatro siguientes programas:

  • GIGABYTE App Center (versión 1.05.21 y anterior)
  • AORUS Graphics Engine (versión 1.33 y anterior)
  • XTREME Engine utility (versión 1.25 y anterior)
  • OC Guru II (v2.08)

Analizando los drviers GPCIDrv y GDrv de la compañía, descubrieron que había procesos sin permisos de administrador que podían recibir llamadas del sistema. Así, un atacante podía tomar el control total del ordenador a través de la vulnerabilidad CVE-2018-19320. Al igual que en el resto de fallos, consiguió colgar el sistema, aunque podría haber hecho otras cosas mucho peores.

La segunda vulnerabilidad, identificada como CVE-2018-19322, permitía a un atacante escribir y leer información de los puertos de entrada y salida, pudiendo escalar privilegios, y finalmente también poder reiniciar el PC. Por último, CVE-2018-19323, permitía causar un pantallazo azul en el sistema mediante un bug de corrupción de memoria.

GIGABYTE no ha solucionado ninguna de las tres vulnerabilidades en su software, a pesar de haber recibido información técnica y una demo de cómo funciona el exploit. En ningún momento dijeron que esas vulnerabilidades afectasen a sus placas, e incluso llegaron a esgrimir que son una compañía de hardware y no de sofware.

 

Fuente: Bleeping Computer | adslzone