WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Intel vá lỗi leo thang đặc quyền trong công nghệ Rapid Storage
Intel vừa xử lý một lỗ hổng trong công nghệ Rapid Storage (RST- công nghệ lưu trữ nhanh) có thể cho phép người dùng cục bộ leo thang đặc quyền trên hệ thống.
Intel RST là ứng dựng Windows cung cấp cho nhiều máy tính dùng chip của Intel nhằm tăng hiệu năng và độ tin cậy khi sử dụng các ổ đĩa SATA.
Lỗ hổng CVE-2019-14568, có thể bị lạm dụng để qua mặt cơ chế phòng thủ và thực hiện việc nằm vùng thông qua việc nạp một DLL chưa được ký vào một tiến trình có đặc quyền hệ thống. Tuy nhiên, lỗi này yêu cầu kẻ tấn công phải có quyền quản trị viên trên hệ thống.
Lỗ hổng trên RST tương tự các lỗi mới được phát hiện gần đây trong các sản phẩm của Kaspersky, McAfee, Symantec, Avast và Avira, cho phép kẻ tấn công cài DLL độc hại trên hệ thống bị ảnh hưởng và nạp vào tiến trình có đặc quyền cao.
Cụ thể, các nhà nghiên cứu của SafeBreach phát hiện ra rằng, file IAStorDataMgrSvc.exe, một tiến trình Intel RST được ký và chạy với đặc quyền hệ thống, sẽ cố tải không dưới 4 file DLL bị thiếu trong thư mục của mình.
Do đó, tất cả những gì các nhà nghiên cứu phải làm là tạo các file DLL, sau đó đưa các file này vào đường dẫn nơi tiến trình có lỗi tải về các thư viện.
Khai thác thành công lỗi này, kẻ tấn công có thể tải và thực thi payload độc hại mà không bị phát hiện. Ngoài ra, payload có thể được thực thi một cách có chủ đích, mỗi khi dịch vụ được khởi động.
Intel đã xác nhận lỗ hổng ảnh hưởng đến các phiên bản Intel RST từ 17.7.0.1006 trở về trước và khuyến cáo cập nhật lên phiên bản đã được vá sớm nhất có thể. Lỗ hổng này có thang điểm CVSS là 6.7
Intel RST là ứng dựng Windows cung cấp cho nhiều máy tính dùng chip của Intel nhằm tăng hiệu năng và độ tin cậy khi sử dụng các ổ đĩa SATA.
Lỗ hổng CVE-2019-14568, có thể bị lạm dụng để qua mặt cơ chế phòng thủ và thực hiện việc nằm vùng thông qua việc nạp một DLL chưa được ký vào một tiến trình có đặc quyền hệ thống. Tuy nhiên, lỗi này yêu cầu kẻ tấn công phải có quyền quản trị viên trên hệ thống.
Lỗ hổng trên RST tương tự các lỗi mới được phát hiện gần đây trong các sản phẩm của Kaspersky, McAfee, Symantec, Avast và Avira, cho phép kẻ tấn công cài DLL độc hại trên hệ thống bị ảnh hưởng và nạp vào tiến trình có đặc quyền cao.
Cụ thể, các nhà nghiên cứu của SafeBreach phát hiện ra rằng, file IAStorDataMgrSvc.exe, một tiến trình Intel RST được ký và chạy với đặc quyền hệ thống, sẽ cố tải không dưới 4 file DLL bị thiếu trong thư mục của mình.
Do đó, tất cả những gì các nhà nghiên cứu phải làm là tạo các file DLL, sau đó đưa các file này vào đường dẫn nơi tiến trình có lỗi tải về các thư viện.
Khai thác thành công lỗi này, kẻ tấn công có thể tải và thực thi payload độc hại mà không bị phát hiện. Ngoài ra, payload có thể được thực thi một cách có chủ đích, mỗi khi dịch vụ được khởi động.
Intel đã xác nhận lỗ hổng ảnh hưởng đến các phiên bản Intel RST từ 17.7.0.1006 trở về trước và khuyến cáo cập nhật lên phiên bản đã được vá sớm nhất có thể. Lỗ hổng này có thang điểm CVSS là 6.7
Theo SecurityWeek