ASUS ATK Package可信路径代码执行漏洞(CVE-2019-19235)
发布时间 2019-12-21
1.背景描述
SafeBreach Labs在ASUS ATK软件包中发现了一个漏洞(CVE-2019-19235),攻击者可利用该漏洞在特权进程(NT AUTHORITY\SYSTEM)的上下文中执行未签名的可执行文件(exe),从而绕过检测并获得持久性。
2.漏洞列表
CVE ID : CVE-2019-19235
CVSS评分: 暂未评定
影响范围: ATK Package 1.0.0060及之前的所有版本
3.漏洞详情
华硕ATK软件包是预安装在华硕PC上的实用工具,其ASLDR服务(AsLdrSrv.exe)以NT AUTHORITY\SYSTEM特权账户运行,该服务的可执行文件由“ ASUSTek Computer Inc.”签名。AsLdrSrv.exe在执行“C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControl.exe”文件前,会先查找以下3个丢失的exe文件。
C:\Program.exe
C:\Program Files(x86)\ASUS\ATK.exe
C:\Program Files(x86)\ASUS\ATK Package\ATK.exe
因此,攻击者可以将任意未签名的EXE文件加载进合法进程并以NT AUTHORITY\SYSTEM执行(无需更改服务的路径或覆盖任何文件)。
导致该问题的原因是AsLdrSrv.exe试图从正确的路径加载HControl.exe时,存储该路径的ATK_path缓冲区内的字符串没有加引号,由于该路径存在空格,使得CreateProcessAsUserW函数尝试自行解析路径,因此程序会查找这3个不存在的exe文件。
4.修复建议
建议更新至最新版本1.0.0061
5.参考链接
https://safebreach.com/Post/ASUS-ATK-Package-Unquoted-Search-Path-and-Potential-Abuses-CVE-2019-19235
https://nvd.nist.gov/vuln/detail/CVE-2019-19235
https://www.asus.com/Static_WebPage/ASUS-Product-Security-Advisory/
京公网安备11010802024551号