Эксперты компании SafeBreach обнаружили способ выполнить сторонний код на компьютерах Acer и ASUS. Угроза связана с собственным предустанавливаемым ПО производителей.

В случае Acer проблема содержится в приложении Acer Quick Access. Оно автоматизирует настройку часто используемых функций, включая взаимодействие с беспроводными устройствами, сетевой обмен данными и работу USB-портов. Ноутбуки ASUS оказались уязвимы из-за ошибки в ASUS ATK Package, который включает в себя драйвер и несколько утилит для управления электропитанием и работой горячих клавиш.

Уязвимость в компьютерах Acer

Аналитики обратили внимание, что Acer Quick Access выполняется с системными привилегиями и потому может представлять интерес для взломщиков. Дальнейшие исследования показали, что при запуске эта утилита обращается к трем несуществующим библиотекам.

Таким образом, если злоумышленник сможет внедрить на компьютер собственные файлы, Acer Quick Access откроет их и выполнит с максимальными правами. Уязвимая программа выполняется при каждом запуске системы, поэтому взломщики могут обеспечить себе постоянное присутствие на компьютере.

Как пояснили специалисты, разработчики допустили ошибку неконтролируемого элемента пути поиска, что и вызвало угрозу небезопасной загрузки библиотек. Уязвимый сервис использует для этой операции процесс LoadLibraryW — в отличие от LoadLibraryExW, он не проверяет путь доступа к целевым файлам.

Вторая проблема Acer Quick Access связана с тем, что программа не уточняет наличие цифровой подписи у загружаемого ПО. Это позволяет злоумышленнику подменять библиотеки без необходимости заверять их легитимным сертификатом.

В сентябре эксперты сообщили разработчикам о существующей угрозе. Компания присвоила багу идентификатор CVE-2019-18670 и исправила его в Acer Quick Access v.2.01.3028/3.00.3009.

Уязвимость в компьютерах ASUS

Аналитики обнаружили схожую проблему в продукции ASUS. Сервис ASLDR, который входит в ASUS ATK Package, в определенный момент обращается к несуществующим файлам EXE. Уязвимый компонент также работает с системными привилегиями, позволяя злоумышленникам выполнить вредоносный код с системным уровнем доступа.

Эксперты отмечают, что для применения этого бага необходимы права администратора. Это фактически единственное ограничение, поскольку, как и Acer Quick Access, ASLDR не проверяет цифровые сертификаты документов и загружается при каждом запуске ОС.

«Исполняемый файл сервиса подписан сертификатом ASUSTek Computer Inc., — указывают эксперты. — Это позволяет использовать ASLDR, чтобы обойти ограничения на запуск сторонних приложений».

Технически угроза связана с отсутствием кавычек в команде на выполнение EXE-файлов. В результате функция CreateProcessAsUser, которая используется в уязвимом процессе, пытается разбить значение переменной PATH на меньшие аргументы, последовательно подставляя .exe вместо каждого пробела. Специалисты отмечают, что необходимость ставить кавычки в таких командах прописана в документации Microsoft Developer Network.

Уязвимость получила идентификатор CVE-2019-19235 и была исправлена  в ATK Package v.1.0.0061.

Другие угрозы предустановленного ПО

С уязвимостями предустановленных приложений гораздо чаще сталкиваются пользователи мобильных устройств.

Как показало недавнее исследование, владельцам смартфонов Samsung, Xiaomi, Sony и других производителей угрожают десятки опасных багов. Они открывают несанкционированный доступ к настройкам устройства, позволяют выполнять сторонний код и шпионить за пользователями.

В некоторых случаях на смартфонах обнаруживаются и полноценные зловредные программы. Так, ранее исследователи нашли троян Triada на 48 устройствах китайских вендоров. Он умеет встраиваться в другие приложения, собирать финансовые данные пользователей и следить за их интернет-активностью.

Категории: Кибероборона, Уязвимости