В драйвере античита Little Orbit GFAC обнаружены уязвимости, позволяющие получить полный контроль над системой

vulnerability

Исследователь Lucian Alexandru Necula выявил три уязвимости в драйвере режима ядра GFAC_Sys_x64.sys, входящем в состав античит-решения GamersFirst Anti-Cheat (GFAC), разработанного компанией Little Orbit. Проблемы связаны с некорректной обработкой данных, поступающих через minifilter-порт, что позволяет локальному злоумышленнику без прав администратора осуществить повышение привилегий до SYSTEM, вызвать отказ в обслуживании или записать произвольные данные в память ядра.

Детали уязвимостей

Первая уязвимость, CVE-2026-12166, представляет собой разыменование нулевого указателя. В коде инициализации и обработки запросов драйвера присутствует путь, при котором он обращается к памяти по адресу NULL. Атака с локального компьютера приводит к синему экрану смерти. Таким образом, любой пользователь может принудительно вывести систему из строя.

Вторая проблема, CVE-2026-12167, связана с недостаточными ограничениями доступа к порту связи minifilter. Используемый дескриптор безопасности не блокирует соединения от малопривилегированных процессов. В результате стандартный пользователь способен открыть канал к драйверу и получить доступ к функциям, предназначенным только для доверенных приложений. Это расширяет поверхность атаки и позволяет эксплуатировать другие слабые места в драйвере.

Наиболее критичная уязвимость получила идентификатор CVE-2026-12168. При обработке сообщений, поступающих через minifilter-порт, драйвер не проверяет корректность переданных пользователем адресов памяти перед выполнением записи. Злоумышленник может отправить специально сформированный запрос с указанием целевого адреса и значения. Драйвер запишет произвольные данные в память ядра. Такой примитив "write-what-where" позволяет изменить критически важные структуры операционной системы, например, токен безопасности процесса, и получить полные права SYSTEM.

Все три проблемы объединяет то, что они становятся доступны через один и тот же интерфейс - minifilter-порт, который недостаточно защищён. Поскольку драйвер GFAC_Sys_x64.sys распространяется вместе с несколькими играми, применяющими античит GamersFirst, уязвимая версия может присутствовать на компьютерах даже тех пользователей, которые не запускали игру в момент атаки. Драйвер может быть загружен в память при старте системы.

Исследователь сообщил о находках разработчику напрямую 1 апреля 2026 года, а спустя три недели обратился в CERT/CC. На протяжении всего периода координации Little Orbit не отвечала. В связи с отсутствием реакции CERT/CC опубликовал бюллетень без согласования с вендором. Полноценного исправления на момент публикации не существует.

Администраторам систем рекомендовано рассматривать GFAC_Sys_x64.sys как уязвимый компонент. Если использование античита не требуется, драйвер следует удалить или заблокировать его загрузку. Там, где игры, использующие GFAC, остаются установленными, необходимо ограничить локальный доступ только доверенными пользователями. Желательно также отслеживать попытки неожиданных подключений к minifilter-порту.

Пользователям стоит учитывать, что до выхода исправления от Little Orbit эксплуатация этих уязвимостей остаётся возможной для любого локального злоумышленника, имеющего физический или удалённый доступ к машине (например, через вредоносное ПО, запущенное с правами обычного пользователя). Особенно высока опасность в корпоративной среде, где на рабочих станциях могут быть установлены игровые приложения с античитом.

Тенденция, при которой разработчики античит-решений не уделяют должного внимания безопасности собственного низкоуровневого кода, наблюдается не впервые. Минифильтры и другие механизмы ядра, предоставляющие привилегированные возможности пользовательским процессам, требуют строгой валидации всех входных данных и жёсткой разграничения доступа. В данном случае отсутствие проверки адресов и открытый порт свели на нет усилия по изоляции драйвера.

Ссылки

Комментарии: 0