SafeBreach的安全研究人員在通常預裝在Windows設備上的三個(gè)應用程序中發(fā)現了嚴重漏洞。

這些應用程序是由Intel，ASUS和Acer開(kāi)發(fā)的，它們都在運行Microsoft操作系統的計算機上預安裝了它們的軟件。

對于A(yíng)SUS，此漏洞會(huì )影響ASUS ATK軟件包中的ASLDR服務(wù)，從而使攻擊者可以通過(guò)濫用已簽名的服務(wù)來(lái)丟棄惡意負載。他們最終可以獲得在系統啟動(dòng)時(shí)加載惡意軟件的持久性，而且還可以利用該漏洞進(jìn)行執行和逃避，深入了解該漏洞說(shuō)明。

“出現此未加引號的搜索路徑漏洞的根本原因是，命令行在可執行文件的路徑和參數之間不包含帶引號的字符串-因此，CreateProcessAsUser函數每次解析空格字符時(shí)都會(huì )嘗試自行對其進(jìn)行拆分， ” SafeBreach解釋道。

該漏洞是在A(yíng)TK軟件包1.0.0060及更早版本中發(fā)現的，建議用戶(hù)盡快更新到最新版本。

宏cer和英特爾的缺陷

在A(yíng)cer快速訪(fǎng)問(wèn)中發(fā)現了Acer安全漏洞，該漏洞也預裝在Windows上。SafeBreach解釋說(shuō)，使用DLL劫持，攻擊者可以獲得SYSTEM權限，基本上可以加載和執行惡意有效載荷并獲得持久性。

之所以會(huì )出現Acer軟件中的缺陷，是因為沒(méi)有使用數字證書(shū)驗證，而且搜索路徑無(wú)法控制。

“該服務(wù)嘗試使用LoadLibraryW而不是LoadLibraryExW加載DLL文件，后者可以控制DLL文件的加載路徑，” SafeBreach指出。

這次，該錯誤存在于A(yíng)cer Quick Access版本2.01.3000-至2.01.3027和3.00.3000至3.00.3008中。修補的版本是2.01.3028和3.00.3009。

就英特爾而言，該安全問(wèn)題存在于英特爾快速存儲技術(shù)中，可以通過(guò)將任意未簽名的DLL加載到已簽名的進(jìn)程中來(lái)濫用該安全問(wèn)題。這意味著(zhù)攻擊者將獲得SYSTEM權限，盡管在這種情況下，需要管理員特權。

SafeBreach指出：“此漏洞的根本原因是未針對服務(wù)嘗試加載的DLL文件進(jìn)行簽名驗證(即，調用WinVerifyTrust函數)，”攻擊者可以“在上下文中加載并執行惡意有效負載”英特爾公司簽署的流程。”

根據披露時(shí)間表，該漏洞已于7月報告給英特爾，并于12月10日發(fā)布了修復程序。