SafeBreach的安全研究人员在通常预装在Windows设备上的三个应用程序中发现了严重的漏洞。
这些应用程序由英特尔、华硕和宏碁开发,它们的软件都预装在运行微软操作系统的计算机上。
对于华硕来说,该漏洞影响华硕ATK包中的ASLDR服务,使得攻击者能够通过滥用签名服务来丢弃恶意负载。最后,他们可以在系统启动时获得加载恶意软件的持久性,也可以利用漏洞进行执行和逃逸,对漏洞描述有更深的理解。
SafeBreach解释说:“这个未加引号的搜索路径漏洞的根本原因是命令行在可执行文件的路径和参数之间不包含带引号的字符串——因此,CreateProcessAsUser函数每次解析空格字符时,都会尝试自行拆分空格字符。
该漏洞是在ATK软件包1.0.0060和更早版本中发现的,因此建议用户尽快更新到最新版本。
宏cer与英特尔的缺陷。
在宏碁快速访问中发现了宏碁安全漏洞,该漏洞也预装在Windows上。SafeBreach解释说,使用DLL劫持,攻击者可以获得SYSTEM权限,基本上可以加载和执行恶意有效负载,并获得持久性。
宏基软件存在缺陷的原因是没有使用数字证书进行验证,无法控制搜索路径。
saferasure指出:“该服务试图使用LoadLibraryW而不是LoadLibraryExW加载DLL文件,后者可以控制DLL文件的加载路径。
这次,错误出现在宏碁快速访问版本2.01.3000- 2.01.3027和3.00.3000-3.00.3008中。修补的版本是2.01.3028和3.00.3009。
就英特尔而言,这一安全问题存在于英特尔快速存储技术中,通过将任何未签名的DLL加载到已签名的进程中,该技术可能会被滥用。这意味着攻击者将获得系统权限,尽管在这种情况下,需要管理员权限。
SafeBreach指出:“造成此漏洞的根本原因是服务试图加载的DLL文件没有经过签名验证(即调用了WinVerifyTrust函数),”攻击者可以“在上下文中加载并执行恶意有效负载”。"
根据披露时间表,该漏洞已于7月向英特尔报告,并于12月10日发布了修复程序。