安全研究員 Impulsive 揭露,全球 PC 玩家廣泛使用的硬體監控工具 GPU-Z 存在嚴重安全漏洞。其內置的 TRIXX.sys 驅動程式可在無需管理員權限的情況下,直接讀寫計算機物理記憶體,攻擊者可藉此獲取系統最高權限。 漏洞核心在於 TRIXX.sys 驅動程式中的控制碼 IOCTL 0x800060C4,該控制碼原本用於讀取顯示卡硬體資訊,但權限門檻極低,系統中任何普通程式均可向該驅動發送指令。
透過調用系統核心函數 HalSetBusDataByOffset,攻擊者可重新定義 PCI BAR(基址暫存器),從軟體權限層級(Ring 3)直接跨越防護,讀取或修改物理記憶體中的數據,包括密碼、加密金鑰以及作業系統核心保護機制。
合法數位簽名助長 BYOVD 攻擊
更棘手的是,該驅動程式擁有合法的 EV(Extended Validation)數位簽名,有效期至 2028 年,Windows 系統會視其為完全可信的文件。這意味著黑客無需直接攻擊已安裝 GPU-Z 的用戶,而是可將這個有漏洞但合法簽名的舊版驅動帶入目標電腦,實行 BYOVD(Bring Your Own Vulnerable Driver)攻擊,繞過 Windows 的安全封鎖。
GPU-Z 開發商 Wizzard 承認該技術細節有參考價值,但強調在 Windows 環境下普通用戶程式無法直接與驅動通訊,須具備管理員權限才能觸發。目前 Wizzard 正在修補漏洞,在新版本推出前請用戶暫停使用。由於此漏洞需本地執行,用戶只要不執行可疑檔案,黑客即無法利用電腦上的 GPU-Z。
AI 內容聲明:本文由 AI 工具輔助撰寫初稿,經 TechRitual 編輯團隊審閱、修訂及事實查核後發佈。如有任何錯誤或需要更正,歡迎聯絡我們。
