SafeBreach的安全研究人员在通常预装在Windows设备上的三个应用程序中发现了严重漏洞。
这些应用程序是由Intel,ASUS和Acer开发的,它们都在运行Microsoft操作系统的计算机上预安装了它们的软件。
对于ASUS,此漏洞会影响ASUS ATK软件包中的ASLDR服务,从而使攻击者可以通过滥用已签名的服务来丢弃恶意负载。他们最终可以获得在系统启动时加载恶意软件的持久性,而且还可以利用该漏洞进行执行和逃避,深入了解该漏洞说明。
“出现此未加引号的搜索路径漏洞的根本原因是,命令行在可执行文件的路径和参数之间不包含带引号的字符串-因此,CreateProcessAsUser函数每次解析空格字符时都会尝试自行对其进行拆分, ” SafeBreach解释道。
该漏洞是在ATK软件包1.0.0060及更早版本中发现的,建议用户尽快更新到最新版本。
宏cer和英特尔的缺陷
在Acer快速访问中发现了Acer安全漏洞,该漏洞也预装在Windows上。SafeBreach解释说,使用DLL劫持,攻击者可以获得SYSTEM权限,基本上可以加载和执行恶意有效载荷并获得持久性。
之所以会出现Acer软件中的缺陷,是因为没有使用数字证书验证,而且搜索路径无法控制。
“该服务尝试使用LoadLibraryW而不是LoadLibraryExW加载DLL文件,后者可以控制DLL文件的加载路径,” SafeBreach指出。
这次,该错误存在于Acer Quick Access版本2.01.3000-至2.01.3027和3.00.3000至3.00.3008中。修补的版本是2.01.3028和3.00.3009。
就英特尔而言,该安全问题存在于英特尔快速存储技术中,可以通过将任意未签名的DLL加载到已签名的进程中来滥用该安全问题。这意味着攻击者将获得SYSTEM权限,尽管在这种情况下,需要管理员特权。
SafeBreach指出:“此漏洞的根本原因是未针对服务尝试加载的DLL文件进行签名验证(即,调用WinVerifyTrust函数),”攻击者可以“在上下文中加载并执行恶意有效负载”英特尔公司签署的流程。”
根据披露时间表,该漏洞已于7月报告给英特尔,并于12月10日发布了修复程序。