نقص امنیتی افزایش حق دسترسی در نرم افزارهای Acer و ASUS
شرکت SafeBreach هشدار داده در نرم افزارهای Acer و ASUS که توسط خود این شرکتها بر روی رایانههای تولیدیشان نصب میشوند، آسیبپذیریهایی شناسایی شده است که منجر به افزایش حق دسترسی و اجرای پیلودهای دلخواه توسط مهاجمان بر روی سیستمهای کاربران میشوند.
به گزارش این شرکت، اولین باگ کشف شده بر روی Acer Quick Access است که یک برنامه کاربردی بوده و امکان خاموش یا روشن کردن وایفای دستگاه، تغییر تنظیمات Power-Off، شارژ USB، امکانات به اشتراکگذاری از طریق شبکه و غیره را برای کاربران فراهم میکند.بر اساس توضیحات SafeBreach، مسأله مهم اینجا است که قسمتی از این نرم افزار با سطح دسترسی SYSTEM اجرا شده و سعی میکند سه فایل DLL را با روشهایی ناامنی بارگذاری کند. مهاجمان با دسترسیهای ادمین میتوانند نسخههای مختلفی از این فایلها را پیادهسازی کرده و با افزایش سطح امتیازات خود، این فایلها را نیز اجرا کنند.
هکرها از طریق این حفره امنیتی میتوانند با استفاده از یک سرویس امضا شده، پیلودهای مخربی را بارگذاری و اجرا کنند. بنابراین این پیلود هر زمانی که سرویس اجرا شود، اجرا خواهد شد.
این آسیبپذیری که وجود آن در سپتامبر 2019 در Acer گزارش داده شد و با کد CVE-2019-18670 شناخته میشود، هم اکنون در نسخههای 2.01.3028 و 3.00.3009 از Acer Quick Access برطرف شده است.
نقص امنیتی دوم نیز بر روی ASUS ATK Package تأثیرگذار است و امکان استفاده از آن در فاز پس از آلودهسازی برای حفظ حضور مهاجم و پیشگیری از شناسایی وی وجود دارد.
محققان دریافتهاند که سرویس ASLDR با استفاده از این برنامه کاربردی (AsLdrSrv.exe، یک پردازش امضا شده است که هنگام روشن شدن سیستم با سطح دسترسی SYSTEM اجرا میشود)، سعی میکند فایلهای EXE مورد نیازش را پیدا کند. بنابراین مهاجم میتواند از این نقطه ضعف برای بارگذاری و اجرای یک فایل اجرایی امضا نشده تحت نام پردازش AsLdrSrv استفاده کند. در نتیجه امکان حفظ شرایط و پیشگیری از تشخیص آن وجود دارد، چرا که این پیلود هر زمانی که سیستم شروع به کار کند اجرا میشود.
این آسیبپذیری که هم اکنون با کد CVE-2019-19235 شناخته میشود، در پکیج ASUS ATK Package 1.0.0060 و تمام نسخههای قبلی آن تأثیرگذار بوده است. خوشبختانه در ماه نوامبر، با انتشار ATK Package 1.0.0061 این آسیب پذیری هم برطرف شده است.