Acer Quick Access DLL劫持漏洞(CVE-2019-18670)
发布时间 2019-12-21
1.背景描述
近日,SafeBreach Labs在Acer PC的预安装软件Quick Access中发现一个DLL劫持漏洞。攻击者可以利用该漏洞将任意未签名的DLL加载到以SYSTEM权限运行的进程中,从而实现持久性、绕过检测以及某些情况下的特权提升。
2.漏洞列表
CVE ID : CVE-2019-18670
CVSS评分: 暂未评定
影响范围:Acer Quick Access v2.01.3000 - v.201.3027;Acer Quick Access v3.00.3000 - v3.00.3008
3.漏洞详情
Acer Quick Access在启动后以NT AUTHORITY\SYSTEM权限运行QAAdminAgent.exe,并试图从环境变量PATH的路径中加载三个DLL文件(atiadlxx.dll、atiadlxy.dll和nvapi.dll)。由于该进程没有对DLL文件进行签名验证,攻击者可利用该进程加载任意恶意DLL(未签名),从而实现特权提升和以NT AUTHORITY\SYSTEM权限执行任意代码。
由于Acer Quick Access是大多数Acer PC上预安装的辅助软件,因此该漏洞的潜在影响范围较大。
4.修复建议
建议更新至版本Acer Quick Access v2.01.3028或v3.00.3009
5.参考链接
https://safebreach.com/Post/Acer-Quick-Access-DLL-Search-Order-Hijacking-and-Potential-Abuses-CVE-2019-18670
https://nvd.nist.gov/vuln/detail/CVE-2019-18670
京公网安备11010802024551号