El sistema antitrampas de GamersFirst se ha convertido en el paraíso de los hackers.

El anti-cheat, que debería proteger los juegos de jugadores deshonestos, permitió por sí mismo la escalada de privilegios en Windows. Los especialistas del centro de coordinación CERT del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon informaron sobre tres vulnerabilidades en el controlador GamersFirst Anti-Cheat, desarrollado por el editor Little Orbit.
Los problemas se encontraron en el controlador GFAC_Sys_x64.sys. Funciona a nivel del núcleo de Windows y da a las aplicaciones habituales acceso a funciones privilegiadas a través del puerto de comunicación del mini-filtro. Ese mecanismo es necesario para que el anti-cheat controle el sistema, pero en GFAC el acceso a él se limitó de forma insuficiente y los datos entrantes se verificaban pobremente.
La primera vulnerabilidad, CVE-2026-12166 (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H — 5.5 MEDIUM), permite a un usuario local provocar un fallo del controlador debido a una referencia nula. Un ataque exitoso derriba el sistema y provoca la pantalla azul de la muerte.
El segundo fallo, CVE-2026-12167 (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H — 7.8 HIGH), está relacionado con los permisos de acceso al puerto de comunicación del controlador. Debido a restricciones débiles, usuarios con pocos privilegios pueden conectarse a GFAC_Sys_x64.sys y llamar a funciones que deberían estar disponibles solo para procesos de confianza.
El problema más peligroso recibió el identificador CVE-2026-12168 (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H — 7.8 HIGH). El controlador recibe mensajes de aplicaciones de usuario y no comprueba adecuadamente las direcciones de memoria antes de escribir. Un atacante puede formar una solicitud de modo que el controlador escriba los datos deseados en una zona de memoria del núcleo seleccionada. Ese escenario permite modificar estructuras sensibles de Windows, incluidos los tokens de seguridad de los procesos, y elevar privilegios al nivel SYSTEM.
CERT advierte que el conjunto de vulnerabilidades permite a un atacante local derribar el sistema, obtener privilegios máximos o ejecutar código no autorizado. El riesgo se agrava por el hecho de que las funciones privilegiadas del controlador están accesibles para usuarios no confiables.
Los especialistas no lograron coordinar la divulgación de las vulnerabilidades con Little Orbit. Mientras no se publique una corrección, se aconseja a los usuarios limitar el acceso local a los equipos solo a cuentas de confianza, vigilar solicitudes sospechosas a GFAC y, cuando sea posible, desactivar o eliminar los juegos que usan GamersFirst Anti-Cheat. Las vulnerabilidades se hicieron públicas el 2 de julio de 2026.