【黑開有條路!!】Intel RST 被發現存在漏洞
2019 年對 Intel 來說真的「非常難捱」,最大的問題當然是 14nm 製程產能供貨短缺、10nm 製程良率提升也遭遇瓶頸,當大家以為 2019 年差不多完結可以寄望 Intel 在新一年「運氣會轉好」的話,你就錯了,因為 Intel 還未可以逃離「陰霾」,最新網絡安全公司 SafeBreach Labs 的公佈發現在 Intel Rapid Storage 快速儲存技術中存在一個漏洞,黑客通過這個漏洞可以讓惡意程式繞過防毒軟件。
Intel Rapid Storage Technology ( RST ) 是 Intel 的一種快速儲存技術,主要由固件、硬件和軟件 RAID 系統組成,RST 程式整合了磁碟管理程式控制台及 SATA、AHCI、RAID 驅動程式,主要用於 Intel 處理器的磁碟管理、應用支援、狀態查看等應用,簡單理解就是用 SSD 固態硬碟或記憶體當機械硬碟的緩存,實現加速的效果。
最新發現存在於 Intel RST 的漏洞編號為「CVE-2019-14568」,評分為 6.7,嚴重程度屬於「中級」,SafeBreach Labs 的研究人員指出,在較舊版本的 Intel Intel Rapid Storage 程式中,一個名為“IAStorDataMGRSvc.exe”的文件會嘗試從用戶 C Drive 上的 Intel RST 文檔裡加載 4 個 DLL ( Dynamic-link libraries )動態連接庫。然而,這 4 個 DLL 與程式的可執行文件不在同一個文件夾中,因此“IAStorDataMGRSvc.exe”的文件會嘗試從用戶的系統上的其他文件夾中加載這些 DLL。
“IAStorDataMGRSvc.exe” 嘗試加載的 4 個 DLL 文件檔為:
C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IoctlLog.dll
C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IoctlNet.dll
C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IoctlSim.dll
C:\Program Files\Intel\Intel(R) Rapid Storage Technology\DriverSim.dll
問題是這些 DLL 不存在,如下面的 ProcMon 映像中的“ NAME NOT FOUND”(未找到名稱)結果所示。
▲IAStorDataMgrSvc.exe 嘗試加載的四個 DLL 文件檔
在 Windows 操作系統中,DLL 對於程式執行是非常重要的,因為程式在執行的時候必須連接到 DLL 文件,才能夠正確地運行。而“IAStorDataMGRSvc.exe”是由 Intel 針對 Windows 操作系統開發的與 IAStorDataSvc 相關的一種 EXE 檔案,像 “IAStorDataMGRSvc.exe”這樣的 EXE("可執行")檔案都含有逐步指示,電腦可以據此執行某種功能。
研究人員利用此功能創建了自定義的 DLL,一旦“IAStorDataMGRSvc.exe”文件被啟動,就會加載這些自定義的動態連接庫。由於 IAStorDataMgrSvc.exe 文件以 SYSTEM 特權運行,因此該 DLL 以相同的特權加載,並且實質上具有在系統中的完全訪問權限。
不過,由於此特定漏洞需要管理特權才能創建 DLL,因此攻擊者在特權升級方面不會獲得太多好處。但是,SafeBreach 研究人員 Peleg Hadar 指出:“黑客可以在 Intel 上下文中運行並執行惡意操作來逃避防病毒偵查,我們已經經過測試,成功而且非常有效。”攻擊者可能會使用它來繞過防病毒掃描引擎,因為自定義的 DLL 動態連接庫是被受信任的 Intel 程式加載的。研究人員提到,SafeBreach 在 7 月份時向 Intel 報告了這個漏洞。
據了解,Intel 已於 12 月 10 日發佈了 Intel Rapid Storage Technology 軟件的更新版本解決此漏洞。若果你正在使用舊版 Intel Rapid Storage Technology,則建議盡快更新至 17.7.0.1006 或更高版本最新版本,防止黑客利用這個漏洞。
Intel Rapid Storage Technology 更新下載連結:
