SafeBreach的安全研究人員在通常預(yù)裝在Windows設(shè)備上的三個(gè)應(yīng)用程序中發(fā)現(xiàn)了嚴(yán)重漏洞。

這些應(yīng)用程序是由Intel，ASUS和Acer開發(fā)的，它們都在運(yùn)行Microsoft操作系統(tǒng)的計(jì)算機(jī)上預(yù)安裝了它們的軟件。

對于ASUS，此漏洞會(huì)影響ASUS ATK軟件包中的ASLDR服務(wù)，從而使攻擊者可以通過濫用已簽名的服務(wù)來丟棄惡意負(fù)載。他們最終可以獲得在系統(tǒng)啟動(dòng)時(shí)加載惡意軟件的持久性，而且還可以利用該漏洞進(jìn)行執(zhí)行和逃避，深入了解該漏洞說明。

“出現(xiàn)此未加引號的搜索路徑漏洞的根本原因是，命令行在可執(zhí)行文件的路徑和參數(shù)之間不包含帶引號的字符串-因此，CreateProcessAsUser函數(shù)每次解析空格字符時(shí)都會(huì)嘗試自行對其進(jìn)行拆分， ” SafeBreach解釋道。

該漏洞是在ATK軟件包1.0.0060及更早版本中發(fā)現(xiàn)的，建議用戶盡快更新到最新版本。

宏cer和英特爾的缺陷

在Acer快速訪問中發(fā)現(xiàn)了Acer安全漏洞，該漏洞也預(yù)裝在Windows上。SafeBreach解釋說，使用DLL劫持，攻擊者可以獲得SYSTEM權(quán)限，基本上可以加載和執(zhí)行惡意有效載荷并獲得持久性。

之所以會(huì)出現(xiàn)Acer軟件中的缺陷，是因?yàn)闆]有使用數(shù)字證書驗(yàn)證，而且搜索路徑無法控制。

“該服務(wù)嘗試使用LoadLibraryW而不是LoadLibraryExW加載DLL文件，后者可以控制DLL文件的加載路徑，” SafeBreach指出。

這次，該錯(cuò)誤存在于Acer Quick Access版本2.01.3000-至2.01.3027和3.00.3000至3.00.3008中。修補(bǔ)的版本是2.01.3028和3.00.3009。

就英特爾而言，該安全問題存在于英特爾快速存儲(chǔ)技術(shù)中，可以通過將任意未簽名的DLL加載到已簽名的進(jìn)程中來濫用該安全問題。這意味著攻擊者將獲得SYSTEM權(quán)限，盡管在這種情況下，需要管理員特權(quán)。

SafeBreach指出：“此漏洞的根本原因是未針對服務(wù)嘗試加載的DLL文件進(jìn)行簽名驗(yàn)證(即，調(diào)用WinVerifyTrust函數(shù))，”攻擊者可以“在上下文中加載并執(zhí)行惡意有效負(fù)載”英特爾公司簽署的流程。”

根據(jù)披露時(shí)間表，該漏洞已于7月報(bào)告給英特爾，并于12月10日發(fā)布了修復(fù)程序。