Уязвимость в Realtek HD Audio Driver позволяла загружать DLL-библиотеки
Специалисты из компании SafeBreach Labs представили технические подробности и PoC-код уязвимости в пакете драйверов Realtek HD Audio Driver. Ее эксплуатация позволяет выполнять произвольные полезные нагрузки с повышенными привилегиями на уязвимом компьютере.
Уязвимость (CVE-2019-19705) может быть использована для обхода защиты и обеспечения персистентности на системе путем загрузки произвольной неподписанной DLL-библиотеки в подписанный процесс.
Пакет Realtek HD Audio Driver присутствует на всех компьютерах под управлением Windows, на которых установлена звуковая карта Realtek, что делает их уязвимыми для атак. Однако для осуществления атаки злоумышленнику необходимо обладать правами администратора.
В ходе анализа процесса RAVBg64.exe (фоновый процесс драйвера Realtek) исследователи обнаружили, что он работает с системными привилегиями, однако загружает некоторые DLL-библиотеки небезопасным способом.
Как отметили эксперты, проблема заключается не только в загрузке библиотек, которых нет в ожидаемом месте, но и в том, что они исполняются, хотя должны быть предназначены только для данных.
По словам специалистов, причина данной проблемы заключается в том, что Realtek использовала Visual Studio 2005 для компиляции двоичного файла, что привело к неправильному поведению процесса RAVBg64.exe. Также в загруженных библиотеках не выполняется проверка цифровой подписи, что позволяет загружать неподписанные произвольные библиотеки.
Исследователи сообщили поставщику о данной уязвимости в июле прошлого года, и разработчики устранили ее в версии Realtek HD Audio Driver 1.0.0.8856.