Existe una vulnerabilidad de secuestro de DLL en una versión anterior del software Intel Rapid Storage Technology (Intel RST) que podría permitir que los programas maliciosos aparezcan como un programa confiable y, por lo tanto, eviten los motores antivirus.
Las DLLS, o las bibliotecas de enlace dinámico, son archivos de Microsoft Windows que cargan otros programas para ejecutar varias funciones contenidas en la biblioteca DLL.
Cuando se cargan los archivos DLL, los ejecutables especificarán la ruta completa al archivo DLL o simplemente especificarán el nombre.
Si se usa una ruta completa, como C: \ Ejemplo \ Ejemplo.DLL, la DLL solo se cargará desde la ubicación especificada.Por otro lado, si solo se da el nombre de DLL, como el ejemplo.DLL, la DLL primero intentará cargarlo desde la carpeta en la que reside el ejecutable, y si no se puede encontrar, buscará otras carpetas para la DLL y la cargará desde allí.
Cuando falta una DLL en la carpeta ejecutable, los atacantes pueden usar este comportamiento de búsqueda para realizar un secuestro de DLL que hace que el ejecutable cargue una DLL maliciosa en su lugar.
La vulnerabilidad de la tecnología de almacenamiento de Intel Rapid
En las versiones anteriores del software de tecnología de almacenamiento Rapid de Intel, los investigadores de SafeBreach han descubierto que el IASTORDAMGRSVC.EXE Ejecutable intentará cargar cuatro DLLS de la carpeta C: \ Interel \ Intel \ Intel (R) Rapid Storage Technology \.
Las dlls que iStaRordAmgrsvc.Exe intentos de cargar son:
El problema es que estas DLL no existen como se puede ver por los resultados de "nombre no encontrado" que se encuentran en la imagen de Procmon a continuación.
¿Recuerdas lo que dijimos anteriormente acerca de buscar en otras carpetas en busca de DLL faltantes?
Como los DLL no existen en la misma carpeta que el ejecutable, iStordAmgrsvc.EXE intentará cargar la DLL desde otras carpetas en la computadora.
Esto permitió a los investigadores crear su propia DLL personalizada que sería cargada por IsatordatamGrsvc.Exe cuando comienza.Como el IstordatamGrsvc.El archivo EXE se ejecuta con privilegios del sistema, esta DLL está cargada con los mismos privilegios y esencialmente tiene acceso completo a la computadora.
Como esta vulnerabilidad particular requiere privilegios administrativos para crear la DLL, un atacante no ganaría mucho en términos de escalada de privilegios.
Sin embargo, el investigador de SafeBreach, Peleg Hadar, le dijo a BlepingComputer, sin embargo, que un atacante podría usarlo para evitar los motores de escaneo antivirus, ya que la aplicación de Intel lo cargará de confianza..
"Un atacante puede evadir el antivirus ejecutándose dentro del contexto de Intel y realizar acciones maliciosas.Probado, y funciona, una técnica muy interesante y útil ", dijo Hadar a BleepingComuter en una conversación.
Esta vulnerabilidad podría haberse evitado si el software Intel utilizara la función WinverifyTrust para verificar la autenticidad de la DLL cargada revisando su firma digital.
Según SafeBreach, informaron esta vulnerabilidad a Intel el 22 de julio de 2019 y publicaron versiones actualizadas del software de tecnología de almacenamiento Intel Rapid el 10 de diciembre que resolvió esta vulnerabilidad.
Si está utilizando versiones del software Intel RST, debe actualizar el programa a las siguientes versiones V17.5.1.x, v16.8.3.x o v15.9.8.x o más nuevo.
Artículos relacionados:
Explotación lanzada para un error de derivación de autenticación vmware crítico, parche ahora
Microsoft comparte la mitigación de los ataques LPE de Windows Krbrelayup
Trend Micro corrige a los piratas informáticos chinos explotados por espionaje
CISA agrega 41 vulnerabilidades a la lista de errores utilizados en los ataques cibernéticos
VMware Patches Critical Auth Bypass Flaw en múltiples productos