“英特尔快速存储技术漏洞允许持续存在恶意软件”

safe breach的研究人员发现，早期版本的英特尔快速存储技术( rst )软件容易受到dll劫持的攻击。 该漏洞受到防恶意软件引擎的信任，可能会绕过系统保护。

为了利用这个漏洞，攻击者需要管理权限。 但是，这可能比很多人想象的要简单。 大多数windows系统默认启用管理权限，从而简化攻击者的工作。

错误的发现方法

研究人员开始研究多个windows设备附带的windows服务，获得了很高的信任，从而发现了这个错误。 这是因为恶意软件制造商通常也是决定制作哪种类型的恶意软件的方法。

英特尔的rst与多个设备一起提供，拥有nt许可/系统级别的权限，因此经常检查这些设备。 这样，rst将拥有对设备和windows操作系统的低级访问权限，但默认情况下不提供互联网访问权限。

为什么会有英特尔rst错误

很明显，英特尔公司的某人忘记了删除某些与软件不再相关联的rst命令，例如试图加载四个不再存在的dll文件。

属于rst软件的inteliastordatamgrsvc.exe可执行文件正在加载以下不存在的dll :

攻击者可以通过创建至少一个使用任何名称的恶意dll来利用此漏洞。 如果在本应存在rst的文件夹中找不到丢失的dll，英特尔会在其他文件夹中开始搜索，从而使攻击者变得更加容易。 然后，攻击者可以从系统中的任何地方加载恶意软件。

英特尔rst还会在每次重新启动时继续加载恶意的dll，从而使恶意软件成为永久的。 由于dll库应由可靠的英特尔rst软件使用，因此此默认情况下也将忽略防病毒引擎。

漏洞发现和缓解的时间表

英特尔发布了包括15.x、16.x、17.x版在内的rst软件补丁。 需要更新的特定版本是v15.9.8.x、v16.8.3.x或v17.5.1.x版。 理想情况下，它是当前的软件系列，因此应该是后者(或更高版本)。 如果无法切换到新的rst软件系列，则至少需要获取当前软件的最新修补程序。

safebreach于2019年7月22日报告了这一漏洞。 英特尔在12月10日前未发布补丁，但要求延迟到1月14日，以增加合作伙伴整合补丁的时间。

由于修补程序已经发布，该研究者似乎不希望intel进行扩展，而是根据safebreach研究者和intel之间的原始披露协议公布了这一漏洞。

本文：《“英特尔快速存储技术漏洞允许持续存在恶意软件”》