کشف آسیب‌پذیری DLL Hijacking در درایور صوتی Realtek HD

محققان SafeBreach Labs یک آسیب‌پذیری در درایور صوتی Realtek HD کشف کرد که ممکن است برای اجرای بار داده‌ی دلخواه با امتیازات سطح بالا در یک دستگاه آسیب‌دیده مورد بهره‌برداری قرار گیرد. این آسیب‌پذیری که با شناسه‌ی CVE-2019-19705 ردیابی می‌شود، ممکن است برای دور زدن راهکار دفاعی و رسیدن به پایداری از طریق بارگذاری یک DLL دلخواه بدون امضا در یک فرآیند امضاشده مورد استفاده قرار گیرد.

درایور صوتی Realtek HD در همه‌ی دستگاه‌های ویندوزی که دارای کارت صوتی Realtek هستند وجود دارد و همه‌ی آن‌ها را در برابر حملات آسیب‌پذیر می‌کند. بااین‌حال، برای بهره‌برداری از این آسیب‌پذیری مهاجم باید امتیازات مدیر را داشته باشد.

پژوهش‌گران امنیتی SafeBreach Labs در تجزیه و تحلیل‌های خود کشف کردند که فرآیند RAVBg64.exe که فرآیند پس‌زمینه‌ی درایور Realtek است، با امتیازات سیستم اجرا می‌شود، اما تلاش می‌کند تا یک جفت DLL خاص را با روشی ناامن بارگذاری کند.

پژوهش‌گران تشریح کردند که مسأله تنها این نیست که این فرآیند تلاش می‌کند تا DLLهایی را که در مکان مورد انتظار وجود ندارند، بارگذاری کند، بلکه آن‌ها را اجرا می‌کند، هرچند که ظاهراً DLLهای only-data هستند. RAVBg64.exe یک برنامه‌ی MFC است، به این معنی که توسعه‌دهندگان آن می‌توانند DLLهای resource-only را بارگذاری کنند. بااین‌حال، به جای بارگذاری DLLهای گفته‌شده با یک نشان خاص، آن‌ها را به‌عنوان DLLهای معمولی بارگذاری می‌کند که منجر به اجرای آن‌ها می‌شود.

محققان بیان می‌کنند که این مشکل دو دلیل اصلی دارد، دلیل اول این است که Realtek از ویژوال استودیو ۲۰۰۵ برای کامپایل باینری استفاده می‌کند که منجر به بروز رفتار نادرست در برنامه‌ی MFC می‌شود. دلیل دوم این است که هیچ اعتبارسنجی امضای دیجیتالی در DLLهای بارگذاری‌شده انجام نمی‌شود، بنابراین امکان بارگذاری کتابخانه‌های بدون امضای دلخواه فراهم می‌شود. مهاجمی که این آسیب‌پذیری را هدف قرار می‌دهد، می‌تواند بار داده‌ی مخرب را در context فرآیند امضاشده‌ی Realtek بارگذاری و اجرا کند. این مسأله به آن‌ها اجازه می‌دهد تا راهکار دفاعی را دور بزنند و به پایداری برسند. این آسیب‌پذیری در ماه جولای سال گذشته به این شرکت گزارش شد و با انتشار درایور صوتی Realtek HD نسخه‌ی ۱٫۰٫۰٫۸۸۵۶ رفع شد. Realtek مشاوره‌نامه‌ای منتشر کرد که جزئیات این آسیب‌پذیری را تشریح می‌کند و پتانسیل بارگذاری کد ناخواسته در فرآیند را تأیید می‌کند.

منبع

پست‌های مشابه

Leave a Comment