安全公司Safe Break的漏洞测试专家组最近进行的一项调查发现,早期版本的“英特尔快速存储技术”(RST)软件存在一个安全漏洞,该漏洞允许劫持动态链接库(DLL)。因此,恶意程序可能绕过防病毒检测并破坏目标系统。
需要注意的是,利用此漏洞需要攻击者获得目标系统的管理员权限。然而,由于这是Windows 10系统上的一个缺陷,操作的复杂性大大降低,因为这些系统默认情况下启用了管理员权限运行,减轻了攻击者的工作量。
漏洞测试专家小组在收集有关Windows服务如何包含在各种设备上的信息时发现了该漏洞,这些漏洞在安全扫描期间是高度可信的。恶意软件 开发人员还经常执行这种类型的分析,因为他们发现了功能性恶意软件应该具有哪些功能。
RST在许多运行Windows的设备上存在,它在操作系统上具有广泛的权限,尽管默认情况下它没有网络访问权限。显然,该漏洞存在,因为开发人员忘记删除一些不再适用于软件正常运行的RST命令,例如,加载四个不再存在的DLL。
根据漏洞测试专家的说法,黑客可以利用开发人员这一疏漏,使用合法的DLL名称之一创建恶意DLL。更糟糕的是,英特尔似乎已经向黑客提供了一切,因为当RST在原本应该的文件夹中找不到丢失的DLL时,它会自动开始在其他文件夹中搜索,因此攻击者可以从系统的任何位置加载恶意软件。
除此之外,恶意软件还会获得持久性,因为每次系统重新启动时,“英特尔RST”都会继续加载恶意DLL。从理论上来讲,DLLs应该由可靠的Intel RST软件使用,因此防病毒解决方案不会将加载的恶意DLL识别为恶意开发。
7月22日,Safe Breach报告了该漏洞。针对这份报告,英特尔发布了针对RST软件的各种安全补丁,包括15.x、16.x和17.x版。国际网络安全研究所(IICS)漏洞测试专家表示:“准确地说,系统管理员应该升级到v15.9.8.x、v16.8.3.x或v17.5.1.x版。”
尽管英特尔曾要求延期,以便明年1月发布更新,但最终与安全漏洞研究人员达成了披露协议。目前,这些漏洞已经被公开披露,所有补丁均已发布。