Если вам приходилось устанавливать материнскую плату или видеокарту от именитого производителя, то для мониторинга, разгона или управления подсветкой необходимо было инсталлировать соответствующую фирменную утилиту.
Компания SecureAuth, специализирующаяся на компьютерной безопасности, провела анализ утилит Gigabyte App Center, Aorus Graphics Engine, Xtreme Engine Utility и OC Guru II, а также программного пакета ASUS с такими же функциями. В результате исследователи обнаружили семь серьезных уязвимостей. В случае ASUS, наиболее опасна утилита Aura Sync.
В частности, в утилите Aura Sync были обнаружены уязвимости CVE-2018-18537, CVE-2018-18536 и CVE-2018-18535, которые позволяют злоумышленнику выполнить неавторизованный код. Для уязвимостей опубликовано доказательство взлома PoC (Proof of Concept). То есть уязвимости не просто существуют в теории, но могут быть использованы злоумышленниками прямо сегодня, что демонстрируют PoC. Многие упомянутые уязвимости до сих пор содержатся в утилитах, поэтому появление эксплойтов - дело времени.
Причина кроется в том, что производители не закрывали уязвимости многие месяцы. Компания SecureAuth предоставила информацию ASUS еще в ноябре 2017, тайваньский производитель заявил, что закроет уязвимости с обновлением программы Aura Sync в апреле. Но обновление в апреле так и не закрыло ни одну из трех упомянутых выше уязвимостей, а обновление в мае закрыло только одну - две остались открытыми.
В утилитах Gigabyte тоже присутствуют задокументированные уязвимости. А именно CVE-2018-19320, CVE-2018-19320, CVE-2018-19322 и CVE-2018-19323, которые открывают злоумышленнику доступ к системе на разных уровнях, но они уже не так серьезны. Хотя определенную угрозу все равно представляют.
Если верить Gigabyte, программные продукты компании не подвержены упомянутым уязвимостям, либо они уже закрыты. Однако специалисты SecureAuth продолжают настаивать на существовании уязвимостей и потенциальной угрозе для всех систем, на которые установлены утилиты Gigabyte.
Пока не совсем понятно, оценивали ли специалисты SecureAuth программное обеспечение других производителей, поскольку MSI, ZOTAC, Sapphire и другие компании предлагают фирменные программные пакеты. В целом, если вы хотите потенциально исключить возможность атаки системы, то лучше не устанавливать дополнительные утилиты. Конечно, все несколько осложняется в тех случаях, когда программные пакеты устанавливаются автоматически, без ведома пользователя.