Lỗ hổng thực thi mã và tiêm DLL trong v54.5.90 cho phép tin tặc phát tán Phần mềm độc hại - k2rx.com

Lỗ hổng DLL Injection và Code Execution trong v54.5.90 cho phép Tin tặc phát tán Phần mềm độc hại

Bảo vệ / Lỗ hổng DLL Injection và Code Execution trong v54.5.90 cho phép Tin tặc phát tán Phần mềm độc hại 2 phút đọc

Dropbox

Một lỗ hổng thực thi mã và xâm nhập DLL đã được tìm thấy trong giải pháp lưu trữ dựa trên đám mây: Dropbox. Lỗ hổng bảo mật lần đầu tiên gặp phải vào đầu tuần này sau khi nó được phát hiện là ảnh hưởng đến phiên bản 54.5.90 của Dropbox. Kể từ đó, lỗ hổng bảo mật đã được khám phá và nghiên cứu, giờ đây nó đã trở thành tuyến đầu của thông tin để người dùng cảnh giác.

Theo chi tiết khai thác do Nhà nghiên cứu bảo mật ZwX công bố, lỗ hổng bảo mật được tìm thấy tồn tại trong DropBox dành cho Windows, trong phiên bản 54.5.90 của ứng dụng như đã nêu trước đó. Lỗ hổng này xuất phát từ các lỗ hổng vòng lặp và sự khác biệt trong 4 thư viện cụ thể. Các thư viện này là: cryptbase.dll, CRYPTSP.dll, msimg32.dll và netapi32.dll. Các lỗ hổng phát sinh từ sự chậm trễ trong các thư viện này và quay trở lại tác động và gây ra sự cố của các thư viện tương tự, dẫn đến sự cố tổng thể của dịch vụ đám mây Dropbox.

Lỗ hổng bảo mật có thể khai thác từ xa. Nó cho phép kẻ tấn công độc hại chưa được xác thực khai thác lỗ hổng tải DLL bằng cách sửa đổi các lệnh gọi DLL được đề cập để một tệp DLL độc hại được mở nhầm với các quyền nâng cao (như được cấp cho các tệp DLL hệ thống). Người dùng có thiết bị đang trải qua quá trình khai thác này sẽ không nhận ra điều đó cho đến khi quy trình bị khai thác để đưa phần mềm độc hại vào hệ thống. Việc tiêm và thực thi DLL chạy trong nền mà không yêu cầu bất kỳ đầu vào của người dùng nào để chạy mã tùy ý của nó.

Để tái tạo lỗ hổng, bằng chứng về khái niệm sau đó trước tiên một tệp DLL độc hại phải được ghép lại với nhau và sau đó được đổi tên để trông giống như tệp DLL Dropbox truyền thống mà dịch vụ thường gọi trong hệ thống. Tiếp theo, tập tin này phải được sao chép vào thư mục Dropbox trong ổ Windows C trong Tập tin Chương trình. Khi Dropbox được khởi chạy trong bối cảnh này, nó sẽ gọi một tệp DLL trùng tên bị thao túng và một khi tệp độc hại được thực thi ở vị trí của nó do nhầm lẫn tiêu đề, mã trên DLL được tạo thủ công sẽ thực thi, cho phép kẻ tấn công từ xa truy cập vào hệ thống để tải xuống thêm và phát tán phần mềm độc hại.

audiodg.exe

Rất tiếc, để đối phó với tất cả những điều này, không có bước giảm thiểu, kỹ thuật hoặc bản cập nhật nào được nhà cung cấp công bố nhưng bản cập nhật có thể được mong đợi rất sớm do mức độ nghiêm trọng của rủi ro khai thác như vậy.

Thẻ dropbox