Античит, который смог. Вместо того чтобы блокировать нечестных игроков, программа помогает взламывать компьютеры

leer en español

12644
Античит, который смог. Вместо того чтобы блокировать нечестных игроков, программа помогает взламывать компьютеры

GamersFirst Anti-Cheat превратился в мечту любого взломщика.

image

Античит, который должен защищать игры от нечестных игроков, сам позволил захватить права в Windows. Специалисты координационного центра CERT при Институте программной инженерии Университета Карнеги–Меллона сообщили сразу о трёх уязвимостях в драйвере GamersFirst Anti-Cheat, разработанном издателем Little Orbit.

Проблемы найдены в драйвере GFAC_Sys_x64.sys. Он работает на уровне ядра Windows и даёт обычным приложениям доступ к привилегированным функциям через порт связи мини-фильтра. Такой механизм нужен античиту для контроля за системой, но в GFAC доступ к нему ограничили недостаточно строго, а входящие данные проверяли плохо.

Первая уязвимость, CVE-2026-12166 (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H — 5.5 MEDIUM), позволяет локальному пользователю вызвать сбой драйвера из-за обращения к нулевому указателю. Успешная атака роняет систему и вызывает «синий экран смерти».

Вторая ошибка, CVE-2026-12167 (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H — 7.8 HIGH), связана с правами доступа к порту связи драйвера. Из-за слабых ограничений к GFAC_Sys_x64.sys могут подключаться пользователи с низкими правами и обращаться к функциям, которые должны быть доступны только доверенным процессам.

Самая опасная проблема получила номер CVE-2026-12168 (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H — 7.8 HIGH). Драйвер принимает сообщения от пользовательских приложений и не проверяет должным образом адреса памяти перед записью. Злоумышленник может сформировать запрос так, чтобы драйвер записал нужные данные в выбранный участок памяти ядра. Такой сценарий позволяет изменить чувствительные структуры Windows, включая токены безопасности процессов, и повысить привилегии до уровня SYSTEM.

CERT предупреждает, что набор уязвимостей позволяет локальному атакующему обрушить систему, получить максимальные права или выполнить несанкционированный код. Риск усиливает тот факт, что привилегированные функции драйвера доступны недоверенным пользователям.

Специалистам не удалось скоординировать раскрытие уязвимостей с Little Orbit. Пока исправление не вышло, пользователям советуют ограничить локальный доступ к компьютерам только доверенными учётными записями, отслеживать подозрительные запросы к GFAC и, где возможно, отключить или удалить игры, использующие GamersFirst Anti-Cheat. Уязвимости публично раскрыли 2 июля 2026 года.