محققان SafeBreach Labs یک آسیبپذیری در درایور صوتی Realtek HD کشف کرد که ممکن است برای اجرای بار دادهی دلخواه با امتیازات سطح بالا در یک دستگاه آسیبدیده مورد بهرهبرداری قرار گیرد. این آسیبپذیری که با شناسهی CVE-2019-19705 ردیابی میشود، ممکن است برای دور زدن راهکار دفاعی و رسیدن به پایداری از طریق بارگذاری یک DLL دلخواه بدون امضا در یک فرآیند امضاشده مورد استفاده قرار گیرد.
درایور صوتی Realtek HD در همهی دستگاههای ویندوزی که دارای کارت صوتی Realtek هستند وجود دارد و همهی آنها را در برابر حملات آسیبپذیر میکند. بااینحال، برای بهرهبرداری از این آسیبپذیری مهاجم باید امتیازات مدیر را داشته باشد.
پژوهشگران امنیتی SafeBreach Labs در تجزیه و تحلیلهای خود کشف کردند که فرآیند RAVBg64.exe که فرآیند پسزمینهی درایور Realtek است، با امتیازات سیستم اجرا میشود، اما تلاش میکند تا یک جفت DLL خاص را با روشی ناامن بارگذاری کند.
پژوهشگران تشریح کردند که مسأله تنها این نیست که این فرآیند تلاش میکند تا DLLهایی را که در مکان مورد انتظار وجود ندارند، بارگذاری کند، بلکه آنها را اجرا میکند، هرچند که ظاهراً DLLهای only-data هستند. RAVBg64.exe یک برنامهی MFC است، به این معنی که توسعهدهندگان آن میتوانند DLLهای resource-only را بارگذاری کنند. بااینحال، به جای بارگذاری DLLهای گفتهشده با یک نشان خاص، آنها را بهعنوان DLLهای معمولی بارگذاری میکند که منجر به اجرای آنها میشود.
محققان بیان میکنند که این مشکل دو دلیل اصلی دارد، دلیل اول این است که Realtek از ویژوال استودیو ۲۰۰۵ برای کامپایل باینری استفاده میکند که منجر به بروز رفتار نادرست در برنامهی MFC میشود. دلیل دوم این است که هیچ اعتبارسنجی امضای دیجیتالی در DLLهای بارگذاریشده انجام نمیشود، بنابراین امکان بارگذاری کتابخانههای بدون امضای دلخواه فراهم میشود. مهاجمی که این آسیبپذیری را هدف قرار میدهد، میتواند بار دادهی مخرب را در context فرآیند امضاشدهی Realtek بارگذاری و اجرا کند. این مسأله به آنها اجازه میدهد تا راهکار دفاعی را دور بزنند و به پایداری برسند. این آسیبپذیری در ماه جولای سال گذشته به این شرکت گزارش شد و با انتشار درایور صوتی Realtek HD نسخهی ۱٫۰٫۰٫۸۸۵۶ رفع شد. Realtek مشاورهنامهای منتشر کرد که جزئیات این آسیبپذیری را تشریح میکند و پتانسیل بارگذاری کد ناخواسته در فرآیند را تأیید میکند.