Pesquisadores de violação segura (abre no novo guia) descobriram que uma versão mais antiga do software Rapid Storage Technology (RST) da Intel é vulnerável ao seqüestro de DLL.A falha pode permitir que um programa malicioso seja visto como confiável pelos motores antivírus, ignorando assim sua proteção do sistema.
Para explorar a vulnerabilidade, o invasor precisa de privilégios administrativos.No entanto, essa pode ser uma tarefa mais fácil do que muitos podem pensar, pois a grande maioria dos sistemas Windows é executada com privilégios administrativos ativados por padrão, tornando o trabalho de um invasor muito mais fácil.
Como o bug foi encontrado
Os pesquisadores encontraram o bug começando a analisar os serviços do Windows que acompanham muitos dispositivos Windows e têm um alto nível de confiança, pois é assim que os fabricantes de malware decidem sobre que tipo de malware escrever também.
A Intel da Intel verifica essas caixas muito bem, pois vem com muitos dispositivos e também possui privilégios de autoridade NT/nível de sistema.Isso fornece o primeiro acesso de nível inferior ao dispositivo e ao sistema operacional Windows, mas não fornece acesso à rede por padrão.
Por que o primeiro bug da Intel existe
Aparentemente, alguém da Intel esqueceu de remover certos comandos RST que não são mais relevantes para o software, como tentar carregar quatro arquivos DLL diferentes que não existem mais.
Intel’s IAStorDataMgrSvc.exe executable belonging to the RST software tries to load the following non-existent DLLs:
Um invasor pode aproveitar isso criando pelo menos uma DLL maliciosa que usa um desses nomes.A Intel parece ter facilitado os atacantes, pois quando o RST não consegue encontrar as DLLs ausentes na pasta onde deveriam estar, começa a procurá -los em outras pastas.Os atacantes poderiam então carregar os maliciosos de qualquer lugar do sistema.
Além disso, o malware ganharia persistência, pois a Intel RST continuará a carregar a DLL maliciosa toda vez que for reiniciada.Como as bibliotecas DLL devem ser usadas pelo software Intel RST "confiável", isso significa que os motores antivírus também o ignoram por padrão.
Descoberta de vulnerabilidade e cronograma de mitigação
A Intel lançou patches para seu primeiro software, incluindo a versão 15 da série 15.x, 16.x e 17.x.As versões específicas para as quais você deve atualizar são: v15.9.8.x, v16.8.3.x, ou v17.5.1.x.Idealmente, seria o último (ou mais recente (abre em uma nova guia)), pois essa é a série de software atual.Se você não conseguir mudar para a nova série de software mais recente, deve pelo menos obter os patches mais recentes para o seu software atual.
O SafeBreach relatou a vulnerabilidade em 22 de julho de 2019 e levou a Intel até 10 de dezembro para lançar os patches, mas não antes de pedir um atraso até 14 de janeiro, para que seus parceiros tenham mais tempo para integrar os patches.
Como os patches já foram emitidos, parece que os pesquisadores não queriam permitir uma extensão da Intel e se tornaram públicos com a vulnerabilidade de acordo com o contrato de divulgação original entre os pesquisadores e a Intel da SafeBreach e a Intel.