Уязвимость в Realtek HD Audio Driver позволяла загружать DLL-библиотеки

Специалисты из компании SafeBreach Labs представили технические подробности и PoC-код уязвимости в пакете драйверов Realtek HD Audio Driver. Ее эксплуатация позволяет выполнять произвольные полезные нагрузки с повышенными привилегиями на уязвимом компьютере.

Уязвимость (CVE-2019-19705) может быть использована для обхода защиты и обеспечения персистентности на системе путем загрузки произвольной неподписанной DLL-библиотеки в подписанный процесс.

Пакет Realtek HD Audio Driver присутствует на всех компьютерах под управлением Windows, на которых установлена ​​звуковая карта Realtek, что делает их уязвимыми для атак. Однако для осуществления атаки злоумышленнику необходимо обладать правами администратора.

В ходе анализа процесса RAVBg64.exe (фоновый процесс драйвера Realtek) исследователи обнаружили, что он работает с системными привилегиями, однако загружает некоторые DLL-библиотеки небезопасным способом.

Как отметили эксперты, проблема заключается не только в загрузке библиотек, которых нет в ожидаемом месте, но и в том, что они исполняются, хотя должны быть предназначены только для данных.

По словам специалистов, причина данной проблемы заключается в том, что Realtek использовала Visual Studio 2005 для компиляции двоичного файла, что привело к неправильному поведению процесса RAVBg64.exe. Также в загруженных библиотеках не выполняется проверка цифровой подписи, что позволяет загружать неподписанные произвольные библиотеки.

Исследователи сообщили поставщику о данной уязвимости в июле прошлого года, и разработчики устранили ее в версии Realtek HD Audio Driver 1.0.0.8856.