Safe Breach的研究人员发现,较早版本的英特尔快速存储技术(RST)软件容易受到DLL劫持的攻击。该漏洞可能使恶意程序被反病毒引擎信任,从而绕过其系统保护。
为了利用此漏洞,攻击者需要管理权限。但是,这可能比许多人想象的要容易,因为绝大多数Windows系统默认情况下都启用了管理权限运行,这使攻击者的工作变得容易得多。
错误的发现方式
研究人员通过开始研究许多Windows设备附带的Windows服务并获得高度信任而发现了该错误,因为这也是恶意软件制造商通常也决定编写哪种类型的恶意软件的方式。
英特尔的RST很好地检查了这些设备,因为它与许多设备一起提供,并且还具有NT授权/系统级特权。这使RST对设备和Windows操作系统具有较低级别的访问权限,但是默认情况下,它不向其提供网络访问权限。
为什么存在英特尔RST错误
显然,英特尔公司的某人忘记了删除与该软件不再相关的某些RST命令,例如试图加载不再存在的四个不同的DLL文件。
属于RST软件的IntelIAStorDataMgrSvc.exe可执行文件尝试加载以下不存在的DLL:
攻击者可以通过创建至少一个使用那些名称之一的恶意DLL来利用此漏洞。英特尔似乎也使攻击者容易上手,因为当RST在本应存在的文件夹中找不到丢失的DLL时,它将开始在其他文件夹中搜索它们。然后,攻击者可以从系统中的任何位置加载恶意软件。
此外,该恶意软件将获得持久性,因为英特尔RST每次重新启动时都会继续加载该恶意DLL。由于DLL库应该由“受信任的”英特尔RST软件使用,因此默认情况下,防病毒引擎也将忽略它。
漏洞发现和缓解时间表
英特尔已经发布了RST软件的补丁程序,包括版本15.x,16.x和17.x。您应该更新到的特定版本是:v15.9.8.x,v16.8.3.x或v17.5.1.x。理想情况下,应该是后者(或更新的版本),因为这是当前的软件系列。如果您不能切换到较新的RST软件系列,则至少应获取当前软件的最新补丁。
SafeBreach在2019年7月22日报告了此漏洞,英特尔花了12月10日才发布补丁,但直到1月14日才要求延迟,以便其合作伙伴有更多时间来集成补丁。
由于已经发布了补丁程序,因此研究人员似乎不希望允许Intel进行扩展,而是根据SafeBreach研究人员与Intel之间的原始披露协议来公开此漏洞。