Los investigadores de Safe Breach (se abre en New Tab) descubrieron que una versión anterior del software de tecnología de almacenamiento rápido de Intel (RST) es vulnerable al secuestro de DLL.La falla podría permitir que un programa malicioso sea visto como confía en los motores antivirus, evitando así su protección del sistema..
Para eXplotar la vulnerabilidad, el atacante necesita privilegios administrativos.Sin embargo, esta puede ser una tarea más fácil de lo que muchos podrían pensar, ya que la gran mayoría de los sistemas de Windows se ejecutan con privilegios administrativos habilitados por defecto, lo que hace que el trabajo de un atacante sea mucho más fácil.
Cómo se encontró el error
Los investigadores encontraron el error al comenzar a mirar los servicios de Windows que vienen con muchos dispositivos de Windows y tienen un alto nivel de confianza, ya que a menudo esa es la forma en que los fabricantes de malware deciden qué tipo de malware escribir también.
Intel’s RST verifica esas casillas bastante bien, ya que viene con muchos dispositivos y también tiene privilegios a nivel de autoridad/sistema NT.Esto le da acceso primero a nivel inferior al dispositivo y al sistema operativo Windows, pero no le da acceso a la red de forma predeterminada.
Why The Intel RST Bug EXists
Aparentemente, alguien en Intel olvidó eliminar ciertos comandos RST que ya no son relevantes para el software, como tratar de cargar cuatro archivos DLL diferentes que ya no eXisten.
Intel’s IAStorDataMgrSvc.eXe eXecutable belonging to the RST software tries to load the following non-eXistent DLLs:
Un atacante podría aprovechar esto creando al menos una DLL maliciosa que usa uno de esos nombres.Intel también parece haber sido fácil para los atacantes, ya que cuando RST no puede encontrar las DLL faltantes en la carpeta donde se suponía que debían estar, comienza a buscarlos en otras carpetas.Los atacantes podrían cargar el malicioso desde cualquier lugar del sistema..
Además, el malware ganaría persistencia, ya que Intel RST continuará cargando el DLL malicioso cada vez que se reinicie.Como se supone que las bibliotecas DLL son utilizadas por el software Intel RST "confiable", eso significa que los motores antivirus también lo ignorarán por defecto.
Descubrimiento de vulnerabilidad y línea de tiempo de mitigación
Intel ha lanzado parches para su software RST, incluida la serie de versiones 15.X, 16.X y 17.X.Las versiones específicas a las que debe actualizar son: V15.9.8.X, v16.8.3.X, or v17.5.1.X.Idealmente, sería el último (o más nuevo (se abre en una nueva pestaña)), ya que esa es la serie de software actual.Si no puede cambiar a la nueva serie de software RST, al menos debe obtener los últimos parches para su software actual.
SafeBreach informó la vulnerabilidad el 22 de julio de 2019 y se necesitó Intel hasta el 10 de diciembre para lanzar los parches, pero no antes de pedir un retraso hasta el 14 de enero para que sus socios tengan más tiempo para integrar los parches.
As the patches have already been issued, it appears that the researchers didn’t want to allow Intel an eXtension and went public with the vulnerability per the original disclosure agreement between the SafeBreach researchers and Intel.