- Регистрация
- 11 Ноя 2019
- Сообщения
- 1,667
- Реакции
- 72
- Репутация
- 0
Эксперты компании SafeBreach обнаружили способ выполнить сторонний код на компьютерах Acer и ASUS. Угроза связана с собственным предустанавливаемым ПО производителей.
В случае Acer проблема содержится в приложении Acer Quick Access. Оно автоматизирует настройку часто используемых функций, включая взаимодействие с беспроводными устройствами, сетевой обмен данными и работу USB-портов. Ноутбуки ASUS оказались уязвимы из-за ошибки в ASUS ATK Package, который включает в себя драйвер и несколько утилит для управления электропитанием и работой горячих клавиш.
Уязвимость в компьютерах Acer
Аналитики обратили внимание, что Acer Quick Access выполняется с системными привилегиями и потому может представлять интерес для взломщиков. Дальнейшие исследования показали, что при запуске эта утилита обращается к трем несуществующим библиотекам.
Таким образом, если злоумышленник сможет внедрить на компьютер собственные файлы, Acer Quick Access откроет их и выполнит с максимальными правами. Уязвимая программа выполняется при каждом запуске системы, поэтому взломщики могут обеспечить себе постоянное присутствие на компьютере.
Как пояснили специалисты, разработчики допустили ошибку неконтролируемого элемента пути поиска, что и вызвало угрозу небезопасной загрузки библиотек. Уязвимый сервис использует для этой операции процесс LoadLibraryW — в отличие от LoadLibraryExW, он не проверяет путь доступа к целевым файлам.
Вторая проблема Acer Quick Access связана с тем, что программа не уточняет наличие цифровой подписи у загружаемого ПО. Это позволяет злоумышленнику подменять библиотеки без необходимости заверять их легитимным сертификатом.
В сентябре эксперты сообщили разработчикам о существующей угрозе. Компания присвоила багу идентификатор CVE-2019-18670 и исправила его в Acer Quick Access v.2.01.3028/3.00.3009.
Уязвимость в компьютерах ASUS
Аналитики обнаружили схожую проблему в продукции ASUS. Сервис ASLDR, который входит в ASUS ATK Package, в определенный момент обращается к несуществующим файлам EXE. Уязвимый компонент также работает с системными привилегиями, позволяя злоумышленникам выполнить вредоносный код с системным уровнем доступа.
Эксперты отмечают, что для применения этого бага необходимы права администратора. Это фактически единственное ограничение, поскольку, как и Acer Quick Access, ASLDR не проверяет цифровые сертификаты документов и загружается при каждом запуске ОС.
«Исполняемый файл сервиса подписан сертификатом ASUSTek Computer Inc., — указывают эксперты. — Это позволяет использовать ASLDR, чтобы обойти ограничения на запуск сторонних приложений».
Технически угроза связана с отсутствием кавычек в команде на выполнение EXE-файлов. В результате функция CreateProcessAsUser, которая используется в уязвимом процессе, пытается разбить значение переменной PATH на меньшие аргументы, последовательно подставляя .exe вместо каждого пробела. Специалисты отмечают, что необходимость ставить кавычки в таких командах прописана в документации Microsoft Developer Network.
Уязвимость получила идентификатор CVE-2019-19235 и была исправлена в ATK Package v.1.0.0061.
Другие угрозы предустановленного ПО
С уязвимостями предустановленных приложений гораздо чаще сталкиваются пользователи мобильных устройств.
Как показало недавнее исследование, владельцам смартфонов Samsung, Xiaomi, Sony и других производителей угрожают десятки опасных багов. Они открывают несанкционированный доступ к настройкам устройства, позволяют выполнять сторонний код и шпионить за пользователями.
В некоторых случаях на смартфонах обнаруживаются и полноценные зловредные программы. Так, ранее исследователи нашли троян Triada на 48 устройствах китайских вендоров. Он умеет встраиваться в другие приложения, собирать финансовые данные пользователей и следить за их интернет-активностью.
В случае Acer проблема содержится в приложении Acer Quick Access. Оно автоматизирует настройку часто используемых функций, включая взаимодействие с беспроводными устройствами, сетевой обмен данными и работу USB-портов. Ноутбуки ASUS оказались уязвимы из-за ошибки в ASUS ATK Package, который включает в себя драйвер и несколько утилит для управления электропитанием и работой горячих клавиш.
Уязвимость в компьютерах Acer
Аналитики обратили внимание, что Acer Quick Access выполняется с системными привилегиями и потому может представлять интерес для взломщиков. Дальнейшие исследования показали, что при запуске эта утилита обращается к трем несуществующим библиотекам.
Таким образом, если злоумышленник сможет внедрить на компьютер собственные файлы, Acer Quick Access откроет их и выполнит с максимальными правами. Уязвимая программа выполняется при каждом запуске системы, поэтому взломщики могут обеспечить себе постоянное присутствие на компьютере.
Как пояснили специалисты, разработчики допустили ошибку неконтролируемого элемента пути поиска, что и вызвало угрозу небезопасной загрузки библиотек. Уязвимый сервис использует для этой операции процесс LoadLibraryW — в отличие от LoadLibraryExW, он не проверяет путь доступа к целевым файлам.
Вторая проблема Acer Quick Access связана с тем, что программа не уточняет наличие цифровой подписи у загружаемого ПО. Это позволяет злоумышленнику подменять библиотеки без необходимости заверять их легитимным сертификатом.
В сентябре эксперты сообщили разработчикам о существующей угрозе. Компания присвоила багу идентификатор CVE-2019-18670 и исправила его в Acer Quick Access v.2.01.3028/3.00.3009.
Уязвимость в компьютерах ASUS
Аналитики обнаружили схожую проблему в продукции ASUS. Сервис ASLDR, который входит в ASUS ATK Package, в определенный момент обращается к несуществующим файлам EXE. Уязвимый компонент также работает с системными привилегиями, позволяя злоумышленникам выполнить вредоносный код с системным уровнем доступа.
Эксперты отмечают, что для применения этого бага необходимы права администратора. Это фактически единственное ограничение, поскольку, как и Acer Quick Access, ASLDR не проверяет цифровые сертификаты документов и загружается при каждом запуске ОС.
«Исполняемый файл сервиса подписан сертификатом ASUSTek Computer Inc., — указывают эксперты. — Это позволяет использовать ASLDR, чтобы обойти ограничения на запуск сторонних приложений».
Технически угроза связана с отсутствием кавычек в команде на выполнение EXE-файлов. В результате функция CreateProcessAsUser, которая используется в уязвимом процессе, пытается разбить значение переменной PATH на меньшие аргументы, последовательно подставляя .exe вместо каждого пробела. Специалисты отмечают, что необходимость ставить кавычки в таких командах прописана в документации Microsoft Developer Network.
Уязвимость получила идентификатор CVE-2019-19235 и была исправлена в ATK Package v.1.0.0061.
Другие угрозы предустановленного ПО
С уязвимостями предустановленных приложений гораздо чаще сталкиваются пользователи мобильных устройств.
Как показало недавнее исследование, владельцам смартфонов Samsung, Xiaomi, Sony и других производителей угрожают десятки опасных багов. Они открывают несанкционированный доступ к настройкам устройства, позволяют выполнять сторонний код и шпионить за пользователями.
В некоторых случаях на смартфонах обнаруживаются и полноценные зловредные программы. Так, ранее исследователи нашли троян Triada на 48 устройствах китайских вендоров. Он умеет встраиваться в другие приложения, собирать финансовые данные пользователей и следить за их интернет-активностью.