보안 연구원 Impulsive는 전 세계 PC 게이머들이 널리 사용하는 하드웨어 모니터링 도구인 GPU-Z에 심각한 보안 취약점이 있다고 밝혔습니다.내장된 TRIXX.sys 드라이버는 관리자 권한 없이 컴퓨터의 물리적 메모리를 직접 읽고 쓸 수 있으므로 공격자가 시스템에 대한 가장 높은 액세스 권한을 얻을 수 있습니다.
취약점의 핵심은 TRIXX.sys 드라이버의 제어 코드 IOCTL 0x800060C4에 있습니다. 이 제어 코드는 원래 그래픽 카드 하드웨어 정보를 읽는 데 사용되었지만 권한 임계값은 매우 낮습니다. 시스템의 모든 일반 프로그램은 운전자에게 명령을 보낼 수 있습니다.
공격자는 시스템 커널 함수 HalSetBusDataByOffset을 호출하여 PCI BAR(기본 주소 레지스터)을 재정의하고 소프트웨어 권한 수준(Ring 3)에서 방어를 직접 우회할 수 있습니다.비밀번호, 암호화 키, 운영 체제 핵심 보호 메커니즘을 포함하여 물리적 메모리의 데이터를 읽거나 수정합니다.
더욱 문제가 되는 점은 드라이버가 2028년까지 유효한 합법적인 EV(확장 유효성 검사) 디지털 서명을 보유하고 있다는 것입니다. Windows 시스템은 이를 완전히 신뢰할 수 있는 파일로 취급합니다.
즉, 해커가 GPU-Z를 설치한 사용자를 직접 공격할 필요가 없다는 의미입니다. 대신, 그들은 취약하지만 합법적으로 서명된 이전 드라이버를 대상 컴퓨터로 가져와 BYOVD 공격을 수행하고 Windows 보안 블록을 우회할 수 있습니다.
GPU-Z의 작성자인 Wizzard는 일부 기술적 세부 사항은 참고할 가치가 있음을 인정했지만 Windows 환경에서는 일반 사용자 프로그램이 드라이버와 직접 통신할 수 없으며 이를 트리거하려면 관리자 권한이 있어야 한다고 반박했습니다.
Wizzard는 현재 취약점을 패치하고 있습니다. 새 버전이 출시되기 전에 주의해서 사용하시기 바랍니다. 이 취약점은 로컬 실행이 필요하므로 사용자가 의심스러운 파일을 실행하지 않는 한 해커는 컴퓨터에서 GPU-Z를 악용할 수 없습니다.