SafeBreach的安全研究人員在通常預(yù)裝在Windows設(shè)備上的三個(gè)應(yīng)用程序中發(fā)現(xiàn)了嚴(yán)重的漏洞。

這些應(yīng)用程序由英特爾、華碩和宏碁開發(fā)，它們的軟件都預(yù)裝在運(yùn)行微軟操作系統(tǒng)的計(jì)算機(jī)上。

對(duì)于華碩來說，該漏洞影響華碩ATK包中的ASLDR服務(wù)，使得攻擊者能夠通過濫用簽名服務(wù)來丟棄惡意負(fù)載。最后，他們可以在系統(tǒng)啟動(dòng)時(shí)獲得加載惡意軟件的持久性，也可以利用漏洞進(jìn)行執(zhí)行和逃逸，對(duì)漏洞描述有更深的理解。

SafeBreach解釋說：“這個(gè)未加引號(hào)的搜索路徑漏洞的根本原因是命令行在可執(zhí)行文件的路徑和參數(shù)之間不包含帶引號(hào)的字符串——因此，CreateProcessAsUser函數(shù)每次解析空格字符時(shí)，都會(huì)嘗試自行拆分空格字符。

該漏洞是在ATK軟件包1.0.0060和更早版本中發(fā)現(xiàn)的，因此建議用戶盡快更新到最新版本。

宏cer與英特爾的缺陷。

在宏碁快速訪問中發(fā)現(xiàn)了宏碁安全漏洞，該漏洞也預(yù)裝在Windows上。SafeBreach解釋說，使用DLL劫持，攻擊者可以獲得SYSTEM權(quán)限，基本上可以加載和執(zhí)行惡意有效負(fù)載，并獲得持久性。

宏基軟件存在缺陷的原因是沒有使用數(shù)字證書進(jìn)行驗(yàn)證，無法控制搜索路徑。

saferasure指出：“該服務(wù)試圖使用LoadLibraryW而不是LoadLibraryExW加載DLL文件，后者可以控制DLL文件的加載路徑。

這次，錯(cuò)誤出現(xiàn)在宏碁快速訪問版本2.01.3000- 2.01.3027和3.00.3000-3.00.3008中。修補(bǔ)的版本是2.01.3028和3.00.3009。

就英特爾而言，這一安全問題存在于英特爾快速存儲(chǔ)技術(shù)中，通過將任何未簽名的DLL加載到已簽名的進(jìn)程中，該技術(shù)可能會(huì)被濫用。這意味著攻擊者將獲得系統(tǒng)權(quán)限，盡管在這種情況下，需要管理員權(quán)限。

SafeBreach指出：“造成此漏洞的根本原因是服務(wù)試圖加載的DLL文件沒有經(jīng)過簽名驗(yàn)證(即調(diào)用了WinVerifyTrust函數(shù))，”攻擊者可以“在上下文中加載并執(zhí)行惡意有效負(fù)載”。"

根據(jù)披露時(shí)間表，該漏洞已于7月向英特爾報(bào)告，并于12月10日發(fā)布了修復(fù)程序。

鄭重聲明：本文版權(quán)歸原作者所有。轉(zhuǎn)載文章只是為了傳播更多的信息。如果作者信息標(biāo)注有誤，請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除。謝謝你。

標(biāo)簽：