Update Intel’s Rapid Storage App to Fix Bug Letting Malware Evade AV

Intel ออกอัปเดตแอป Rapid Storage แก้ไขช่องโหว่ที่มัลแวร์ใช้หลบเลี่ยงการตรวจจับจากโปรแกรมป้องกันไวรัส
มีช่องโหว่การไฮแจ็ค DLL ในซอฟต์แวร์ของ Intel Rapid Storage Technology (Intel RST) ถ้าเป็นเวอร์ชั่นเก่าซึ่งอาจทำให้โปรแกรมที่เป็นอันตรายมองเป็นโปรแกรมที่เชื่อถือได้และหลีกเลี่ยงโปรแกรมป้องกันไวรัสได้
DLLs หรือ dynamic-link libraries ไฟล์ของ Microsoft Windows ที่โปรแกรมอื่นโหลดเพื่อใช้งานในฟังก์ชั่นต่าง ๆ ที่มีอยู่ในไลบรารี DLL
เมื่อโหลดไฟล์ DLL แล้วโปรแกรมจะระบุพาธไปยังไฟล์ DLL หรือระบุชื่อ
หากใช้พาทแบบเต็มเช่น c: \ example \ example.dll , DLL จะถูกโหลดจากตำแหน่งที่ระบุเท่านั้น ในทางกลับกันหากมีเพียงชื่อ DLL ที่กำหนดเช่น example.dll, DLL จะพยายามโหลดจากโฟลเดอร์ที่ไฟล์เรียกใช้ถ้าไม่เจอมันจะค้นหาโฟลเดอร์อื่นเพื่อหา DLL และโหลดจากที่นั่น
เมื่อ DLL หายไปจากโฟลเดอร์ปฏิบัติการ ผู้โจมตีสามารถใช้พฤติกรรมการค้นหานี้ DLL เพื่อหลอก ให้ไฟล์ปฏิบัติการสามารถโหลด DLL ที่เป็นอันตรายแทน
ในซอฟต์แวร์ Intel Rapid Storage Technology รุ่นเก่านักวิจัยจาก SafeBreach พบว่า IAStorDataMgrSvc.exe ที่ทำงานอยู่ได้พยายามโหลด DLLs สี่ตัวจาก
C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IoctlLog.dll
C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IoctlNet.dll
C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IoctlSim.dll
C:\Program Files\Intel\Intel(R) Rapid Storage Technology\DriverSim.dll
เนื่องจาก DLLs ไม่มีอยู่ในโฟลเดอร์เดียวกันกับไฟล์ปฏิบัติการ IAStorDataMgrSvc.exe จะพยายามโหลด DLL จากโฟลเดอร์อื่น ๆ บนคอมพิวเตอร์
ทำให้นักวิจัยสร้าง DLL ที่กำหนดเองด้วยตนเองซึ่งจะโหลดโดย IAStorDataMgrSvc.exe เมื่อมีการทำงานไฟล์ IAStorDataMgrSvc.exe ทำงานด้วยสิทธิ์ของระบบ DLL นี้ถูกโหลดด้วยสิทธิ์แบบเดียวกันและมีการเข้าถึงคอมพิวเตอร์เป็นหลัก
เนื่องจากช่องโหว่นี้จำเป็นต้องมีสิทธิ์ระดับผู้ดูแลระบบในการสร้าง DLL ทำให้ผู้โจมตีจะไม่ได้รับผลประโยชน์มากนักในแง่ของการเพิ่มระดับสิทธิ์
Peleg Hadar นักวิจัยของ SafeBreach บอกกับ BlepingComputer บอกว่าผู้โจมตีสามารถใช้โปรแกรมเลี่ยงการสแกนป้องกันไวรัสซึ่งจะถูกโหลดโดยแอปพลิเคชัน Intel ที่เชื่อถือได้
ผู้โจมตีสามารถหลบเลี่ยงโปรแกรมป้องกันไวรัสโดยทำงานจำลองตัวเองเป็นเสมือนโปรแกรมของ Intel และดำเนินการที่เป็นอันตราย
ช่องโหว่นี้สามารถหลีกเลี่ยงได้หากซอฟต์แวร์ Intel ใช้ฟังก์ชัน WinVerifyTrust เพื่อตรวจสอบความถูกต้องของโหลด DLL โดยการตรวจสอบได้จาก digital signature
หากคุณกำลังใช้เวอร์ชันของซอฟต์แวร์ Intel RST คุณควรอัปเดตโปรแกรมเป็นเวอร์ชันต่อไปนี้ v17.5.1.x, v16.8.3.x หรือ v15.9.8.x หรือเวอร์ชั่นที่ใหม่กว่า

ที่มา : Update Intel's Rapid Storage App to Fix Bug Letting Malware Evade AV