Уязвимость в Realtek HD Audio Driver позволяла загружать DLL-библиотеки

Уязвимость в Realtek HD Audio Driver позволяла загружать DLL-библиотеки

Уязвимость затрагивает компьютеры под управлением Windows, на которых установлена ​​звуковая карта Realtek.

image

Специалисты из компании SafeBreach Labs представили технические подробности и PoC-код уязвимости в пакете драйверов Realtek HD Audio Driver. Ее эксплуатация позволяет выполнять произвольные полезные нагрузки с повышенными привилегиями на уязвимом компьютере.

Уязвимость (CVE-2019-19705) может быть использована для обхода защиты и обеспечения персистентности на системе путем загрузки произвольной неподписанной DLL-библиотеки в подписанный процесс.

Пакет Realtek HD Audio Driver присутствует на всех компьютерах под управлением Windows, на которых установлена ​​звуковая карта Realtek, что делает их уязвимыми для атак. Однако для осуществления атаки злоумышленнику необходимо обладать правами администратора.

В ходе анализа процесса RAVBg64.exe (фоновый процесс драйвера Realtek) исследователи обнаружили, что он работает с системными привилегиями, однако загружает некоторые DLL-библиотеки небезопасным способом.

Как отметили эксперты, проблема заключается не только в загрузке библиотек, которых нет в ожидаемом месте, но и в том, что они исполняются, хотя должны быть предназначены только для данных.

По словам специалистов, причина данной проблемы заключается в том, что Realtek использовала Visual Studio 2005 для компиляции двоичного файла, что привело к неправильному поведению процесса RAVBg64.exe. Также в загруженных библиотеках не выполняется проверка цифровой подписи, что позволяет загружать неподписанные произвольные библиотеки.

Исследователи сообщили поставщику о данной уязвимости в июле прошлого года, и разработчики устранили ее в версии Realtek HD Audio Driver 1.0.0.8856.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

  • И а зависят ли эти риски и от того, какой вариант драйверов использовать? (Какая может быть разница между драйверами дефолтными в винде с теми, что скачиваешь и ставишь от производителя? (Я в свое время много экспериментировал с различными программами автоматической установки и обновлений драйверов- они довольно много чего обновляют на той винде, которая просто была установлена на такой комп (и в течение нескольких лет такие обновления одних и тех же "дров" происходят многократно). И многое из такого ПО еще и багованное- оно вполне может что-нибудь вам что-нибудь обновить и с ошибками- то не тот драйвер поставит а то и вообще систему в BSOD потом валит (и безплатность такого софта достигается тем, что оно и прописывает какие-то из своих процессов в автозагрузку и потом эти процессы похоже что какие-то сведения и собирают и куда-то сливают- а не может ли и это быть вредоносным?)) И еще на сайтах производителей такого ПО пишут, что оно может искать версии драйверов даже лучше и тех, что доступны на сайтах производителей- это как такое возможно? (И еще у меня "набагала" программа "Driverpack solution"- говорят в ней часто такое бывает (и что не имея специальных навыков (как потом что исправлять) лучше не рисковать такими вещами пользоваться).
  • Лучше .inf без всякого хлама ничего нет)
Комментарии для сайта Cackle