Une vulnérabilité de détournement de DLL existe dans une ancienne version du logiciel Intel Rapid Storage Technology (Intel RST) qui pourrait permettre aux programmes malveillants d'apparaître comme un programme de confiance et ainsi de contourner les moteurs antivirus.
Les DLL, ou bibliothèques dynamiques, sont des fichiers Microsoft Windows que d'autres programmes chargent afin d'exécuter diverses fonctions contenues dans la bibliothèque DLL.
Lorsque les fichiers DLL sont chargés, les exécutables spécifieront le chemin complet du fichier DLL ou spécifieront simplement le nom.
Si un chemin complet est utilisé, comme C: \ Exemple \ Exemple.DLL, la DLL ne sera chargée que de l'emplacement spécifié.D'un autre côté, si le nom de la DLL est donné, comme l'exemple.DLL, la DLL essaiera d'abord de le charger à partir du dossier dans lequel réside l'exécutable, et s'il ne peut être trouvé, il recherchera d'autres dossiers pour la DLL et le chargera à partir de là.
Lorsqu'une DLL est absente du dossier exécutable, les attaquants peuvent utiliser ce comportement de recherche pour effectuer un détournement de DLL qui fait que l'exécutable charge une DLL malveillante à la place.
La vulnérabilité des technologies de stockage Intel Rapid
Dans les versions plus anciennes du logiciel Intel Rapid Storage Technology, les chercheurs de SafeBreach ont découvert que l'IastordatamgrSVC.EXE Executable tentera de charger quatre DLL à partir du dossier C: \ Program Files \ Intel \ Intel (R) Rapid Storage Technology \.
Les DLL qui iastordatamgrsvc.Les tentatives d'EXE à charger sont:
Le problème est que ces DLL n'existent pas comme on peut le voir par les résultats "nom non trouvé" trouvés à l'image de Procmon ci-dessous.
Rappelez-vous ce que nous avons dit auparavant à propos de la recherche d'autres dossiers pour les DLL manquantes?
Comme les DLL n'existent pas dans le même dossier que l'exécutable, iastordatamgrsvc.EXE essaiera de charger la DLL des autres dossiers de l'ordinateur.
Cela a permis aux chercheurs de créer leur propre DLL personnalisée qui serait chargée par Iastordatamgrsvc.Exe quand ça commence.Comme le iastordatamgrsvc.Le fichier EXE s'exécute avec les privilèges système, cette DLL est chargée avec les mêmes privilèges et a essentiellement un accès complet à l'ordinateur.
Comme cette vulnérabilité particulière nécessite des privilèges administratifs pour créer la DLL, un attaquant ne gagnerait pas grand-chose en termes d'escalade de privilèges.
Le chercheur de SafeBreach, Peleg Hadar, a déclaré à Blepingcomputer, cependant, qu'il pouvait être utilisé par un attaquant pour contourner les moteurs de balayage antivirus car il sera chargé par l'application Intel de confiance.
"Un attaquant peut échapper à l'antivirus en fonctionnant dans le contexte d'Intel et effectuer des actions malveillantes.Testé, et cela fonctionne, une technique très intéressante et utile ", a déclaré à BleepingComputer dans une conversation.
Cette vulnérabilité aurait pu être évitée si le logiciel Intel utilisait la fonction WinverifyTrust pour vérifier l'authenticité de la DLL chargée en vérifiant sa signature numérique.
Selon SafeBreach, ils ont signalé cette vulnérabilité à Intel le 22 juillet 2019 et ont publié des versions mises à jour du logiciel Intel Rapid Storage Technology le 10 décembre qui a résolu cette vulnérabilité.
Si vous utilisez les versions du premier logiciel Intel, vous devez mettre à jour le programme vers les versions suivantes v17.5.1.x, v16.8.3.x, ou v15.9.8.X ou plus récent.
Articles Liés:
Exploit publié pour le bug de contournement Critical Vmware Auth, Patch maintenant
Microsoft partage l'atténuation des attaques LPE de Windows Krbrelayup Windows
Trend Micro Correction des pirates de bogues chinois exploités pour l'espionnage
CISA ajoute 41 vulnérabilités à la liste des bogues utilisés dans les cyberattaques
VMware Patches Critical Auth Typass Flaw dans plusieurs produits
