GIGABYTE Multiple Products Unspecified Vulnerability — The GDrv low-level driver in GIGABYTE App Center, AORUS Graphics Engine, XTREME Gaming Engine, and OC GURU II exposes ring0 memcpy-like functionality that could allow a local attacker to take complete control of the affected system.
CVE-2018-19320 is a critical vulnerability in GIGABYTE's GDrv low-level driver (used in App Center, AORUS Graphics Engine, XTREME Gaming Engine, and OC GURU II) that exposes ring0 memcpy-like functionality to local attackers. This allows complete system takeover by enabling arbitrary kernel memory read/write operations. Public exploits are available, and this driver has been actively abused in Bring Your Own Vulnerable Driver (BYOVD) attacks by threat actors including ransomware groups. The vulnerability is particularly dangerous as the signed driver can be loaded even on systems where the GIGABYTE software is not installed.
Immediate Actions:
1. Inventory all systems with GIGABYTE App Center, AORUS Graphics Engine, XTREME Gaming Engine, or OC GURU II installed
2. Update all GIGABYTE software to the latest patched versions from the official GIGABYTE website
3. Remove the vulnerable GDrv driver (gdrv.sys) from all systems where it is not needed
BYOVD Mitigation:
4. Enable Windows Defender Application Control (WDAC) or deploy Microsoft's Vulnerable Driver Blocklist to prevent loading of the known-vulnerable signed driver
5. Enable Hypervisor-Protected Code Integrity (HVCI) on supported systems
6. Add the vulnerable driver hash to your endpoint protection blocklist
Detection Rules:
7. Monitor for loading of gdrv.sys driver (Sysmon Event ID 6) — hash: 31f4cfb4c71da44120752721103a16512444c13c2ac2d857a7e6f13cb679b427
8. Create SIEM alerts for DeviceIoControl calls to \\.\GDrv device
9. Monitor for suspicious driver loading by non-administrative processes
10. Deploy YARA rules for known BYOVD toolkits that leverage this driver
الإجراءات الفورية:
1. جرد جميع الأنظمة المثبت عليها GIGABYTE App Center أو AORUS Graphics Engine أو XTREME Gaming Engine أو OC GURU II
2. تحديث جميع برامج GIGABYTE إلى أحدث الإصدارات المصححة من موقع GIGABYTE الرسمي
3. إزالة برنامج تشغيل GDrv الضعيف (gdrv.sys) من جميع الأنظمة التي لا تحتاجه
تخفيف هجمات BYOVD:
4. تفعيل Windows Defender Application Control (WDAC) أو نشر قائمة حظر برامج التشغيل الضعيفة من Microsoft
5. تفعيل Hypervisor-Protected Code Integrity (HVCI) على الأنظمة المدعومة
6. إضافة تجزئة برنامج التشغيل الضعيف إلى قائمة الحظر في حماية نقاط النهاية
قواعد الكشف:
7. مراقبة تحميل برنامج تشغيل gdrv.sys (Sysmon Event ID 6)
8. إنشاء تنبيهات SIEM لاستدعاءات DeviceIoControl إلى جهاز GDrv
9. مراقبة تحميل برامج التشغيل المشبوهة من قبل العمليات غير الإدارية
10. نشر قواعد YARA لأدوات BYOVD المعروفة التي تستغل هذا البرنامج