El error de la aplicación Intel Rapid Storage permite que el malware escape de AV

El error de la aplicación Intel Rapid Storage permite que el malware escape de AV


SafeBreach Labs ha descubierto una vulnerabilidad en la Tecnología Intel Rapid Storage (Intel RST) que podría permitir que el malware omita el software antivirus.

Los investigadores de la firma han descubierto que en versiones anteriores del software, el ejecutable IAStorDataMGRSvc.exe intentará cargar cuatro DLL (bibliotecas de enlaces dinámicos) desde la carpeta de la Tecnología Intel Rapid Storage en la unidad C de un usuario

Sin embargo, estas DLL no existen en la misma carpeta que el ejecutable del programa, lo que significa que IAStorDataMGRSvc.exe intentará cargar estas DLL desde otras carpetas. la computadora de un usuario.

SafeBreach aprovechó la oportunidad para crear su propia DLL personalizada que se carga cuando se inicia IAStorDataMGRSvc.exe. Dado que este ejecutable se ejecuta con privilegios del sistema, la DLL de los investigadores se carga con los mismos privilegios y, por lo tanto, tiene acceso completo a la computadora.

Defecto de la tecnología Intel Fast Storage

La vulnerabilidad descubierta por SafeBreach no puede ser explotada por un atacante para una elevación de privilegios porque primero requiere privilegios administrativos para crear una DLL personalizada.

Sin embargo, la vulnerabilidad podría ser utilizada por un atacante para evitar los motores de escaneo antivirus porque la aplicación Intel confiable cargará la DLL personalizada.

El investigador de SafeBreach, Peleg Hadar, explicó a BleepingComputer cómo un atacante podría explotar esta vulnerabilidad, diciendo:

"Un atacante puede escapar del antivirus ejecutando en el contexto de Intel y realizando acciones maliciosas. Probado y funciona, técnica muy interesante y útil".

SafeBreach informó por primera vez de la vulnerabilidad de Intel en julio y desde entonces el fabricante de chips lanzó versiones actualizadas de su software Intel Rapid Storage Technology que corrige el problema. Se recomienda que los usuarios que ejecutan versiones anteriores de Intel RST actualicen su software a la última versión para evitar ser víctimas de ataques que exploten esta vulnerabilidad.

Vía BleepingComputer

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir