Les laboratoires SafeBreach ont découvert une vulnérabilité dans la technologie Intel Rapid Storage (Intel RST) qui pourrait permettre à des programmes malveillants de contourner les logiciels antivirus.
Les chercheurs de la firme ont découvert que dans les anciennes versions du logiciel, l'exécutable IAStorDataMGRSvc.exe tentera de charger quatre DLL (bibliothèques de liens dynamiques) à partir du dossier Intel Rapid Storage Technology sur le lecteur C d'un utilisateur.
Toutefois, ces DLL n'existent pas dans le même dossier que l'exécutable du programme, ce qui signifie qu'IAStorDataMGRSvc.exe essaiera à la place de charger ces DLL à partir d'autres dossiers sur l'ordinateur d'un utilisateur.
SafeBreach en a profité pour créer sa propre DLL personnalisée qui est chargée au démarrage de IAStorDataMGRSvc.exe. Étant donné que cet exécutable s'exécute avec des privilèges système, la DLL des chercheurs est chargée avec les mêmes privilèges et a donc un accès complet à l'ordinateur.
Sommaire
Faille de la technologie de stockage rapide Intel
La vulnérabilité découverte par SafeBreach ne peut pas être exploitée par un attaquant pour élévation de privilèges car elle nécessite des privilèges administratifs pour créer une DLL personnalisée en premier lieu.
Cependant, la vulnérabilité pourrait être utilisée par un attaquant pour contourner les moteurs d'analyse antivirus car la DLL personnalisée sera chargée par l'application Intel de confiance.
Le chercheur de SafeBreach, Peleg Hadar, a expliqué BleepingComputer comment un attaquant pourrait exploiter cette vulnérabilité, en disant:
"Un attaquant peut échapper à l'antivirus en s'exécutant dans le contexte d'Intel et effectuer des actions malveillantes. Testé, et ça marche, technique très intéressante et utile."
SafeBreach a signalé pour la première fois la vulnérabilité d'Intel en juillet et le fabricant de puces a depuis publié des versions mises à jour de son logiciel Intel Rapid Storage Technology qui corrigent le problème. Il est recommandé aux utilisateurs exécutant des versions antérieures d'Intel RST de mettre à jour leur logiciel vers la dernière version pour éviter d'être victime d'attaques exploitant cette vulnérabilité.
Via BleepingComputer