Предустановленные утилиты Acer и ASUS подвергают ПК риску заражения вредоносами
Программное обеспечение, предустановленное на большинстве компьютеров производства Acer и ASUS, содержит уязвимости, предоставляющие возможность повысить привилегии на системе и выполнить произвольный код, предупредили специалисты компании SafeBreach.
Речь идет о приложениях Acer Quick Access и ASUS ATK Package. Первое позволяет пользователям подключать/отключать беспроводные устройства, модифицировать настройки USB и пр. Вторая представляет собой пакет утилит и драйверов для устройств ASUS, позволяющий улучшить некоторый функционал и необходимый для стабильной работы ПК.
Проблема с утилитой Acer Quick Access заключается в том, что часть программы работает с привилегиями уровня SYSTEM и позволяет небезопасную загрузку отсутствующих DLL-библиотек. Таким образом злоумышленник с правами администратора может внедрить вредоносные версии этих файлов и выполнить их с повышенными правами. Проэксплуатировав уязвимость, атакующий может загрузить и исполнить вредоносную полезную нагрузку, а также сохранить персистентность - модули будут запускаться каждый раз при запуске службы.
Проблеме присвоен идентификатор CVE-2019-18670. Производитель устранил уязвимость с выпуском версий Acer Quick Access 2.01.3028 и 3.00.3009.
Уязвимость (CVE-2019-19235) в пакете ASUS ATK Package может быть проэксплуатирована после компрометации системы для сохранения присутствия и обхода антивирусов. Проблема связана со службой ASLDR Service (AsLdrSrv.exe) - подписанным процессом, который запускается при запуске системы с правами уровня SYSTEM и ищет отсутствующие EXE перед загрузкой требуемого исполняемого файла. Этой уязвимостью может воспользоваться злоумышленник для загрузки и запуска неподписанных файлов в контексте привилегированного процесса.
Баг затрагивает версии ASUS ATK Package 1.0.0060 и более ранние. Проблема исправлена в версии 1.0.0061.