Realtek修复了Windows HD音频驱动中的DLL劫持漏洞
Realtek近期修复了在Realtek HD音频驱动中发现的一个安全漏洞,它可让攻击者在未打补丁的Windows系统上获得持久性控制权限、植入恶意软件以及绕过安全检测。
Realtek高清音频驱动往往与Realtek音频卡一起默认安装在Windows电脑上。该漏洞于2019年7月10日被厂商知晓,并在2019年12月13日发布补丁,在8857或更新版本中漏洞已不存在。
如果漏洞利用成功,CVE-2019-19705可让攻击者使目标机器上被Realtek-Semiconductor签名的进程加载和执行payload。
DLL劫持
这个漏洞是由SafeBreach实验室的安全研究员Peleg Hadar发现的,在利用这个漏洞之前,攻击者需要具有管理员权限。
尽管这中漏洞的威胁不是很明显(因为它需要高权限和本地访问才能被利用),但这类安全问题经常被评为中高严重性。
攻击者通常会利用Windows中DLL的搜索加载顺序来进行劫持,旨在进一步持久控制设备。
一旦成功利用,除了持久控制,还可能在执行恶意代码时绕过安全软件的检测。
加载任意无签名DLL
Hadar表示,CVE-2019-19705是由于RAVBg64.exe
进程试图从其当前工作目录加载DLL(而不是DLL的实际位置),同时未能验证DLL是否已被签名所导致的。
他发现HD音频在后台以NT AUTHORITY\SYSTEM
权限运行的进程试图从当前工作目录(也就是C:\Program Files\Realtek\Audio\HDA\
目录)导入RAVBg64ENU.dll
和RAVBg64LOC.dll
,尽管它们的位置并不在那。
为了演示漏洞,研究人员往C:\Program Files\Realtek\Audio\HDA\
目录移植了一个DLL文件,并重新启动了高清音频程序。
很快,就可以观察到这个DLL被RAVBg64.exe
加载并执行。请注意,这是由Realtek Semiconductor
所签名的进程以NT AUTHORITY\SYSTEM
权限执行的。
根据Realtek的说法,在8855版本中,本地用户可以通过往可执行文件相同的文件夹中植入精心制作的DLL获得权限。
“而漏洞的根本原因是被使用来命名驱动程序包(version 1.0.0.8855)的Microsoft Visual Studio 2005 MFC会自动加载一个资源DLL。”
VS2005 MFC使用了一个低权限的LdrLoadLibrary
函数,它也会加载一个代码段,因此存在加载恶意代码的风险。
SafeBreach实验室的安全研究员Peleg Hadar对BleepingComputer表示:“攻击者植入的恶意代码都以Realtek的身份执行,从而可能绕过安全防护,引发一系列后续攻击。”
当被问及哪些平台受易受攻击时,Peleg表示虽然漏洞实验是在Windows 10上做的,但其他版本的操作系统大概率也受影响,因为漏洞成因和操作系统版本无关。
其他DLL劫持
Realtek HD音频驱动的漏洞并不是SafeBreach实验室的安全研究员Peleg Hadar发现并报告的第一个DLL加载漏洞。
2019年8月以来,他还发现了其他类似的问题,影响了多款软件产品,包括但不限于赛门铁克的Endpoint Protection,趋势科技的密码管理器,Check Point的Endpoint Protection,Bitdefender,Avira的Antivirus 2019,Avast的AVG杀毒和Avast杀毒以及迈克菲的杀毒软件。
他发现的每一个DLL劫持漏洞都有可能应用于渗透后的攻防对抗中。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.bleepingcomputer.com/news/security/realtek-fixes-dll-hijacking-flaw-in-hd-audio-driver-for-windows/
最新评论