Des chercheurs de Safe Breach (Open in New Tab) ont découvert qu'une ancienne version du logiciel Rapid Storage Technology (RST) d'Intel est vulnérable au détournement de DLL.La faille pourrait permettre à un programme malveillant d'être considéré comme de faire confiance auX moteurs antivirus, contournant ainsi la protection de leur système.
Afin d'eXploiter la vulnérabilité, l'attaquant a besoin de privilèges administratifs.Cependant, cela peut être une tâche plus facile que beaucoup ne pourraient le penser, car la grande majorité des systèmes Windows s'eXécutent avec des privilèges administratifs activés par défaut, ce qui rend le travail de l'attaquant beaucoup plus facile.
Comment le bug a été trouvé
Les chercheurs ont trouvé le bogue en commençant à regarder les services Windows qui sont livrés avec de nombreuX appareils Windows et ont une confiance de haut niveau, car c'est souvent ainsi que les fabricants de logiciels malveillants décident également du type de logiciels malveillants.
Le premier d'Intel vérifie assez bien ces cases car il est livré avec de nombreuX appareils et il a également des privilèges au niveau de l'autorité / système NT.Cela donne un accès de niveau inférieur premier à l'appareil et au système d'eXploitation Windows, mais il ne lui donne pas un accès réseau par défaut.
Why The Intel RST Bug EXists
Apparemment, quelqu'un d'Intel a oublié de supprimer certaines premières commandes qui ne sont plus pertinentes pour le logiciel, comme essayer de charger quatre fichiers DLL différents qui n'eXistent plus.
Intel’s IAStorDataMgrSvc.eXe eXecutable belonging to the RST software tries to load the following non-eXistent DLLs:
Un attaquant pourrait en profiter en créant au moins une DLL malveillante qui utilise l'un de ces noms.Intel semble avoir facilité les attaquants aussi facilement, car lorsque la première fois ne peut pas trouver les DLL manquantes dans le dossier où ils étaient censés être, il commence à les rechercher dans d'autres dossiers.Les attaquants pouvaient alors charger le malveillant de n'importe où dans le système.
De plus, les logiciels malveillants gagneraient de la persistance, car Intel continuera d'abord à charger la DLL malveillante à chaque fois qu'elle est redémarrée.Comme les bibliothèques DLL sont censées être utilisées par le logiciel Intel «Trust», cela signifie que les moteurs antivirus l'ignoreront également par défaut.
Vulnérabilité Discovery and Amtigation Timeline
Intel a publié des correctifs pour son premier logiciel, y compris la série de versions 15.X, 16.X et 17.X.Les versions spécifiques auXquelles vous devez mettre à jour sont: v15.9.8.X, v16.8.3.X, or v17.5.1.X.Idéalement, ce serait le dernier (ou plus récent (ouvre dans un nouvel onglet)), car c'est la série de logiciels actuels.Si vous ne pouvez pas passer à la première série de logiciels plus récents, vous devriez au moins obtenir les derniers correctifs pour votre logiciel actuel.
SafeBreach a rapporté la vulnérabilité le 22 juillet 2019 et il a fallu Intel jusqu'au 10 décembre pour publier les correctifs, mais pas avant de demander un retard jusqu'au 14 janvier afin que ses partenaires aient plus de temps pour intégrer les correctifs.
As the patches have already been issued, it appears that the researchers didn’t want to allow Intel an eXtension and went public with the vulnerability per the original disclosure agreement between the SafeBreach researchers and Intel.