Existe uma vulnerabilidade de seqüestro de DLL em uma versão mais antiga do software Intel Rapid Storage Technology (Intel RST) que poderia permitir que programas maliciosos apareçam como um programa confiável e, portanto, ignoram os motores antivírus.
DLLs, ou bibliotecas de link dinâmico, são arquivos do Microsoft Windows que outros programas carregam para executar várias funções contidas na biblioteca DLL.
Quando os arquivos DLL forem carregados, os executáveis especificarão o caminho completo para o arquivo DLL ou apenas especificarão o nome.
Se um caminho completo for usado, como C: \ exemplo \ exemplo.DLL, a DLL será carregada apenas do local especificado.Por outro lado, se apenas o nome da DLL for dado, como exemplo.DLL, a DLL primeiro tentará carregá -la da pasta em que o executável reside e, se não puder ser encontrado, pesquisará outras pastas para a DLL e a carregará a partir daí.
Quando falta uma DLL na pasta executável, os atacantes podem usar esse comportamento de pesquisa para executar um seqüestro de DLL que faz com que o executável carregue uma DLL maliciosa em vez disso.
A vulnerabilidade da tecnologia de armazenamento rápido da Intel
Nas versões mais antigas do software de tecnologia de armazenamento Intel Rapid, pesquisadores do SafeBreach descobriram que o IITORDATAMGRSVC.Exe Executável tentará carregar quatro DLLs a partir dos arquivos C: \ Programa \ Intel \ Intel (R) Rapid Storage Technology \ Pasta.
As DLLs que Iiasdatamgrsvc.Exe Tentativas de carregar são:
O problema é que essas DLLs não existem como pode ser visto pelo "nome não encontrado", encontrados na imagem de Procmon abaixo.
Lembra -se do que dissemos anteriormente sobre a pesquisa de outras pastas por DLLs ausentes?
Como as DLLs não existem na mesma pasta que a executável, Iiasdatamgrsvc.exe tentará carregar a DLL de outras pastas no computador.
Isso permitiu que os pesquisadores criassem sua própria DLL personalizada que seria carregada por Iiasdatatamgrsvc.exe quando começa.Como o IASTORDATAMGRSVC.O arquivo exe é executado com privilégios do sistema, esta DLL é carregada com os mesmos privilégios e essencialmente tem acesso total ao computador.
Como essa vulnerabilidade específica requer privilégios administrativos para criar a DLL, um invasor não ganharia muito em termos de escalada de privilégios.
O pesquisador da SafeBreach, Peleg Hadar, disse ao BlepingComputer, no entanto, que poderia ser usado por um invasor para ignorar os motores de varredura antivírus, pois será carregado pelo aplicativo Intel confiável.
"Um invasor pode fugir do antivírus, correndo no contexto da Intel e executando ações maliciosas.Testado, e funciona, técnica muito interessante e útil ", disse Hadar ao BleepingComputer em uma conversa.
Essa vulnerabilidade poderia ter sido evitada se o software Intel utilizasse a função WinverifyTrust para verificar a autenticidade da DLL carregada, verificando sua assinatura digital.
De acordo com o SafeBreach, eles relataram essa vulnerabilidade à Intel em 22 de julho de 2019 e lançaram versões atualizadas do software de tecnologia de armazenamento Intel Rapid em 10 de dezembro que resolveu essa vulnerabilidade.
Se você estiver usando versões do software Intel RST, atualize o programa para as seguintes versões V17.5.1.x, v16.8.3.x, ou v15.9.8.x ou mais recente.
Artigos relacionados:
Explorit lançado para o bug crítico do VMware Auth Bug, patch agora
A Microsoft compartilha mitigação para ataques de LPE do Windows Krbrelayup
Trend Micro Fixes Bug Hackers chineses explorados para espionagem
A CISA adiciona 41 vulnerabilidades à lista de bugs usados em ataques cibernéticos
A falha de desvio crítico de autenticação crítica em vários produtos em vários produtos