‫ اخبار

#‫سیسکو برای سه #‫آسیب‌پذیری بحرانی که یک ابزار کلیدی مدیریت بستر شبکه و سوئیچ‌های آن را تحت‌تأثیر قرار می‌دهند، وصله منتشر کرده است. مهاجم با سوءاستفاده از این نقص‌ها می‌تواند از راه دور و بدون احرازهویت، احرازهویت نقطه‌پایانی را دور بزند و اقدامات دلخواه را با امتیازات مدیریتی بر روی دستگاه‌های هدف اجرا کند.
این سه نقص که با شناسه‌های CVE-2019-15975، CVE-2019-15976 و CVE-2019-15977 ردیابی می‌شوند، مدیر شبکه‌ی مرکز داده‌های سیسکو (DCNM) را تحت تأثیر قرار می‌دهند. DCNM بستری برای مدیریت مراکز داده‌ی سیسکو است که بر روی NX-OS سیسکو اجرا می‌شود. NX-OS یک سیستم‌عامل شبکه است که توسط سوئیچ‌های اترنت سری‌های Nexus سیسکو و سوئیچ‌های شبکه‌‌ی بخش ذخیره‌سازی Fibre Channel سری‌های MDS، استفاده می‌شود.
محصولاتی که تحت‌تأثیر این آسیب‌پذیری‌ها قرار گرفته‌اند عبارتند از نسخه‌های نرم‌افزاری DCNM پیش از نسخه‌ی 11.3(1) در سیستم‌عامل‌های مایکروسافت ویندوز، لینوکس و ابزار مجازی.
دو نقص CVE-2019-15975 و CVE-2019-15976، آسیب‌پذیری‌های دورزدن احرازهویت در نقطه‌پایانی‌های REST API و SOAP API نرم‌افزار DCNM هستند. این آسیب‌پذیری‌ها ناشی از وجود یک کلید رمزنگاری ثابت هستند که بین نصب‌ها به اشتراک گذاشته شد‌ه‌اند. REST یک حالت معماری برای طراحی برنامه‌های کاربردی شبکه‌ای است. پروتکل دسترسی به شئ ساده (SOAP) یک سیستم پروتکلی استاندارد است که به فرایندها اجازه می‌دهد بااستفاده از سیستم‌عامل‌های مختلفی همچون لینوکس و ویندوز، از طریق HTTP و XML آن، ارتباط برقرار کنند. یک مهاجم احرازهویت‌نشده‌ی راه دور می‌تواند با ارسال یک درخواست ساختگی خاص حاوی یک نشانه‌ی (token) نشست معتبر که بااستفاده از کلید رمزنگاری ثابت تولید شده است از طریق REST API یا SOAP API، امتیازات مدیریتی به‌دست آورد و اقداماتی انجام دهد.
نقص سوم (CVE-2019-15976)، یک آسیب‌پذیری دورزدن احرازهویت مدیر شبکه‌ی مرکز داده است. این نقص در واسط مدیریتی مبتنی بر وب DCNM وجود دارد و به یک مهاجم راه‌دور احرازهویت‌نشده اجازه می‌دهد احرازهویت را در دستگاه متأثر دور بزند. این آسیب‌پذیری ناشی از وجود اعتبارنامه‌های ثابت در واسط کاربری تحت وب است. مهاجم می‌تواند بااستفاده از اعتبارنامه‌های ثابت برای تأیید اعتبار برابر واسط کاربری، از این آسیب‌پذیری سوءاستفاده کند. سوءاستفاده‌ی موفق از این آسیب‌پذیری به مهاجم اجازه می‌دهد به بخش خاصی از واسط وب دست یابد و اطلاعات اعتبارنامه‌های خاص را از دستگاه متأثر به‌دست آورد. این اطلاعات می‌تواند برای انجام حملات بیشتر علیه سیستم نیز استفاده شود.
هر سه‌ی این آسیب‌پذیری‌ها دارای امتیاز CVSS مشترک 9.8 هستند. سیسکو این آسیب‌پذیری‌ها را در نسخه‌های 11.3(1) DCNM و نسخه‌های پس از آن وصله کرده است و از لینک https://software.cisco.com/download/home/281722751/type/282088134/release/11.3(1) می‌توان آن را دریافت کرد. همچنین این شرکت بیان کرد که هیچ راه‌حلی جهت رفع این مشکلات وجود ندارد.
به کاربران توصیه می‌شود DCNM خود را همین حالا وصله کنند و اگر وصله‌کردن برایشان میسر نیست، آن را از سیستم خود حذف کنند.

چندین #‫آسیب‌پذیری مهم در مسیریاب‌ وای‌فای #Ruckus که در سراسر جهان مورد استفاده قرار می‌گیرند، فاش شد.
Ruckus شبکه‌های بی‌سیم سطح بالایی را ارایه می‌دهد که وای‌فای شبکه (به نام 'Unleached') و مسیریاب‌های منظم را برای صدها هزار مشتری فراهم می‌کند. وای‌فای شبکه در کنفرانس‌ها، فرودگاه‌ها، هتل‌ها و سایر مناطق بزرگ که نیاز به دسترسی وای‌فای دارند، به‌کار گرفته می‌شود.
این آسیب‌پذیری‌ها شامل سه نقص اجرای کد از راه دور (RCE) مختلف است که از نشت اطلاعات و اعتبارات، دور‌زدن احراز هویت، تزریق دستور، سرریز پشته و خواندن و نوشتن فایل دلخواه ساخته می‌شوند. این بدان معناست که یک مهاجم بالقوه می‌تواند کنترل یک دستگاه هدف را از طریق اینترنت به‌دست آورد، بدون اینکه نیازی به تأیید هویت داشته باشد. هدف قراردادن دستگاه‌های مختلف از این راه، می‌تواند به یک مهاجم امکان ایجاد بات‌نت را بدهد.
به‌گفته‌ی محققان، این اشکالات می‌توانند به یک مهاجم اجازه دهند تا دسترسی ریشه‌ای به دستگاه مورد نظر را به‌دست آورند. سپس مهاجم می‌تواند علاوه بر اینکه مجدداً مسیر را به سمت سایت‌های مخرب هدایت می‌کند، همه ترافیک رمزنگاری‌نشده را از طریق شبکه‌ی هدف مشاهده کند.
محققان، سیستم‌عامل 33 نقطه‌ی دسترسی Ruckus مختلف را مورد بررسی قرار دادند و دریافتند که همه‌ی آن‌ها آسیب‌پذیر هستند.
درمجموع 10 آسیب‌پذیری مختلف کشف شدند که شرکت Ruckus به آن‌ها شماره‌ی شناسایی CVE-2019-19834 تا CVE-2019-19843 را اختصاص داده است. این شرکت، آسیب‌پذیری محصولات ZoneDirector و Unleashed را تأیید و وصله‌هایی را برای آن‌ها منتشر کرده است.
نحوه‌ی مقابله با آسیب‌پذیری‌ها
از آنجایی که برخی از این اشکالات بسیار مهم هستند، Ruckus از همه‌ی کاربران می‌خواهد که سیستم‌عامل دستگاه خود را در اولین فرصت به‌روز کنند. به‌گفته‌ی این شرکت، دستگاه‌های Ruckus به‌طور خودکار نرم‌افزار را دریافت و بارگیری نمی‌کنند، بنابراین، به مشتریانی که از Ruckus استفاده می‌کنند توصیه می‌شود طبق جدول زیر، سیستم‌عامل‌های خود را از طریق صفحه‌ی پشیبانی این شرکت (https://support.ruckuswireless.com/software)، به آخرین نسخه، به‌روز کنند.

محققان امنیتی اخیراً پنج #‫آسیب‌پذیری در مرورگر #‫گوگل کروم فاش کرده‌اند که می‌توانند توسط یک مهاجم برای اجرای کد از راه دور مورد سوءاستفاده قرار بگیرد.
این آسیب‌پذیری‌ها در سیستم مدیریت پایگاه‌داده‌ی SQLite وجود دارد. SQLite یک موتور پایگاه‌داده‌ی سبک است که به‌طور گسترده در مرورگرها، سیستم‌عامل‌ها و تلفن‌های همراه مورد استفاده قرار می‌گیرد.
این مجموعه که Magellan 2.0 نام دارد، از پنج آسیب‌پذیری (CVE-2019-13734، CVE-2019-13750،CVE-2019-13751 ،CVE-2019-13752 و CVE-2019-13753) تشکیل شده است. این آسیب‌پذیری‌ها می‌توانند از راه دور و از طریق صفحه‌ی HTML دستکاری‌شده مورد سوءاستفاده قرار گیرند تا مجموعه‌ای از حملات مخرب را انجام دهند.
آسیب‌پذیری‌های Magellan 2.0 به‌علت اعتبارسنجی ورودی نامناسب در دستورات SQL است که پایگاه‌داده‌ی SQLite از شخص ثالث دریافت می‌کند.
یک مهاجم می‌تواند عملیات SQL را ایجاد کند که حاوی عملیات مخرب است. هنگامی که موتورهای پایگاه‌داده‌ی SQLite این عملیات را بخواند، می‌تواند از طرف مهاجم دستورات را انجام دهد.
Magellan 2.0 بر روی نقص‌های Magellan که قبلاً فاش شده است، سه ضعف سرریز بافر و آسیب‌پذیری افشای داده‌های هیپ درSQLite (CVE-2018-20346 ، CVE-2018-20505، CVE-2018-20506) ایجاد می‌کند و منجر به اجرای کد از راه دور، نشت حافظه‌ی برنامه یا ایجاد خرابی برنامه می‌شود.
تمام برنامه‌هایی که از یک پایگاه‌داده‌ی SQLite استفاده می‌کنند، در برابر این مجموعه، آسیب‌پذیر هستند. این آسیب‌پذیری‌ها همچنین مرورگرهایی را که در آن‌ها WebSQL فعال است، تحت تأثیر قرار می‌دهند. دستگاه‌هایی که از نسخه‌های قدیمی Chrome و Chromium استفاده می‌کنند، برنامه‌های کاربردی که از نسخه‌های قدیمی Webview استفاده می‌کنند و می‌توانند به هر صفحه‌ای دسترسی داشته باشند نیز تحت تأثیر این آسیب‌پذیری‌ها قرار می‌گیرند.
راهکارها و وصله‌ها
این نقص در 16 نوامبر سال 2019 به گوگل و SQLite گزارش شد. در 11 دسامبر 2019، گوگل نسخه‌ی 79.0.3945.79 کروم را منتشر و این آسیب‌پذیری را وصله کرد.
SQLite نیز این اشکالات را در مجموعه‌ای از وصله‌ها برطرف کرده است.

یک #‫آسیب‌پذیری بحرانی در تجهیزات Citrix Application Delivery Controller با نام سابق NetScaler ADC و Citrix Gateway با نام سابق NetScaler Gateway وجود دارد که می‌تواند منجر به اجرای کد از راه دور توسط مهاجم احراز هویت نشده، گردد. طبق تحلیل شرکت Positive Technologies این آسیب‌پذیری دارای امتیاز 10 در مقیاس CVSS 3.0 است و آسیب‌پذیری با این میزان حساسیت ممکن است هر 5 تا 10 سال یک بار در محصولات شرکت‌های نرم‌افزاری بزرگ رخ دهد.
این آسیب‌پذیری تمام نسخه‌های پشتیبانی شده محصولات را تحت تأثیر قرار می‌دهد و هنوز وصله‌ای برای آن منتشر نشده است. با این وجود به علت حساسیت مسئله، Citrix راهکاری برای کاهش خطر این آسیب‌پذیری منتشر کرده است که در ادامه به آن خواهیم پرداخت. توصیه می‌شود از طریق لینک زیر برای دریافت اخبار به‌روزرسانی‌های Citrix ثبت نام کنید و به محض عرضه به‌روزرسانی آن را اعمال کنید.
https://support.citrix.com/user/alerts
همچنین استفاده از دیوار آتش وب (WAF) و نرم‌افزارهای تحلیل ترافیک می‌تواند مانع حملات شود.

نحوه کاهش خطر آسیب‌پذیری
سیستم مستقل
دستورات زیر را از طریق رابط خط فرمان تجهیز اجرا کنید تا یک سیاست و اقدام واکنشی تعریف شود:

enable ns feature responder
add responder action respondwith403 respondwith "\"HTTP/1.1 403 Forbidden\r\n\r\n\""
add responder policy ctx267027 "HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/vpns/\") && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/../\"))" respondwith403
bind responder global ctx267027 1 END -type REQ_OVERRIDE
save config

اطمینان حاصل کنید که تغییرات به رابط‌های مدیریتی نیز اِعمال می‌شوند. دستورات زیر را از طریق رابط خط فرمان اجرا کنید.

shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0
shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"
reboot

در پیکربندی High Availability (HA)

روی تجهیز اصلی

enable ns feature responder
add responder action respondwith403 respondwith "\"HTTP/1.1 403 Forbidden\r\n\r\n\""
add responder policy ctx267027 "HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/vpns/\") && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/../\"))" respondwith403
bind responder global ctx267027 1 END -type REQ_OVERRIDE
save config
shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0
shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"
reboot

بعد از بالا آمدن تجهیز اصلی، روی تجهیز ثانویه دستور زیر را اجرا کنید:

shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0
shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"
reboot

در پیکربندی خوشه‌ای
روی CLIP

enable ns feature responder
add responder action respondwith403 respondwith "\"HTTP/1.1 403 Forbidden\r\n\r\n\""
add responder policy ctx267027 "HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/vpns/\") && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/../\"))" respondwith403
bind responder global ctx267027 1 END -type REQ_OVERRIDE
save config
shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0
shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"
reboot
روی هر گره خوشه
shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0
shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"
reboot

پارتیشن ادمین

switch ns partition default
enable ns feature responder
add responder action respondwith403 respondwith "\"HTTP/1.1 403 Forbidden\r\n\r\n\""
add responder policy ctx267027 "HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/vpns/\") && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/../\"))" respondwith403
bind responder global ctx267027 1 END -type REQ_OVERRIDE
save config
shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0
shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"
reboot

نحوه برگرداندن تغییرات (Standalone,CLIP, HA Primary)

unbind responder global ctx267027
rm responder policy ctx267027
rm responder action respondwith403
save config

دستور nsapi را از rc.netscaler حذف کنید (دستور زیر، فایل مذکور را به دنبال الگوی مربوط جستجو می‌کند و خطی را که اضافه شده بود پاک می‌کند).

shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=1
shell "sed -i '' '/skip_systemaccess_policyeval=0/d' /nsconfig/rc.netscaler"
reboot

برای اعمال سیاست در هیچ کدام از حالات فوق نیازی به راه‌اندازی مجدد نیست. اما برای احتیاط بهتر است این کار انجام شود. زیرا ممکن است نشست‌هایی وجود داشته باشند که قبل از اعمال سیاست و از طریق آسیب‌پذیری ایجاد شده باشند که با راه‌اندازی مجدد حذف می‌شوند.
سایر نکات
تناقض اولویت‌ها: اولویت داده شده به سیاست واکنشی فوق برابر است با 1. اگر سیاست‌های دیگری با این اولویت وجود داشته باشند، ممکن است انتساب این سیاست دچار مشکل شود. بنابراین بهتر است اولویت سایر سیاست‌ها را به طور مناسب تغییر دهید و اولویت این سیاست را روی مقدار 1 نگه دارید.
پرچم ‘skip_systemaccess_policyeval’: این پرچم اطمینان حاصل می‌کند که سیاست‌ها روی ترافیک پورتال ادمین اجرا شوند. اگر IP پورتال ادمین در یک محیط امن‌سازی شده قرار داشته باشد، نیازی به این پرچم نیست. فعال کردن این پرچم ممکن است باعث مسدود شدن بعضی صفحات ادمین شود. در این صورت، پرچم را در هنگام عملیات نگهداری غیرفعال کرده و پس از اتمام کار خود آن را به مقدار 1 برگردانید.
گره‌هایی که از یک خوشه حذف شوند، آسیب‌پذیر اند: وقتی یک گره از خوشه حذف شود، سیاست‌های فوق و در نتیجه تأثیر حفاظتی آن از بین می‌رود. در نتیجه گره حذف شده تحت حفاظت نخواهد بود.
دانلود لینک از رابط کاربری ادمین: رابط کاربری ادمین فعلی، لینکی برای دانلود افزونه‌ها دارد. درون این لینک عبارت “vpns” وجود دارد و بنابراین پس از اعمالِ تغییرات فوق، در دسترس نخواهد بود.
/vpns/ در لینک‌های backend: اگر در مسیر هر منبع وب سرورِ backend، عبارتِ /vpns/ وجود داشته باشد، آن منبع مسدود خواهد شد.
منابع: Citrix و Positive Technologies

محققان، ابزاری جدید منتسب به گروه هکرهای FIN7 را با نام #BIOLOAD که با هدف به حداقل رساندن ردپای موجود در دستگاه قربانی و جلوگیری از مورد شناسایی قرار گرفتن ایجاد شده است را شناسایی کرده‌اند. این ابزار جدید شباهت‌هایی با ابزار BOOSTWRITE FIN7 دارد که از دستور جستجوی DLL برای اجرای برنامه سوء‌استفاده می‌کند. BOOSTWRITE از"Dwrite.dll” ارائه شده توسط سرویس تایپوگرافی DirectX مایکروسافت، سوء‌استفاده می‌کند.
ابزار جدید FIN7
ابزار BIOLOAD نسخه جدیدی از ابزار BOOSTWRITE با پایه کد یکسان هستند و Carbanak backdoor را ایجاد می‌کنند. هر دو ابزار با بکارگیری DLL های مورد نیاز در بارگیری یک برنامه از سیستم‌عامل ویندوز سوء‌استفاده می‌کنند. مهاجمین با قرار دادن نسخه‌ جعلی WinBio.dll (حاوی حروف بزرگ) در همان پوشه FaceFodUninstaller با آدرس “%WINDR%\System32\WinBioPlugIns” در دستگاه قربانی و داشتن دسترسی ادمین یا یک حساب کاربری سیستم این کار را میسر می‌سازند، سایت Fortinetنیز مطلبی را در این خصوص پست کرده است.

ابزارBIOLOAD با زبان C++ نوشته شده و در مارس و ژوئیه سال 2019 کامپایل شده است و به طور خاص دستگاه‌هایی با سیستم عامل 64 بیتی را هدف قرار می‌دهد. این ابزار دارای یک پیلود رمزگذاری شده مانند BOOSTWRITE است که برای رمزگشایی از الگوریتم XOR یا fetches استفاده می‌کند که مانند BOOSTWRITE، تنها از یک پیلود پشتیبانی می‌کند.

محققان خاطرنشان كردند كه با backdoor ایجاد شده ابزار سیستم را چک می‌کند که آیا علاوه بر Kaspersky، AVG وTrendMicro ، انتي ويروس دیگری نیز روی اين دستگاه اجرا شده است یا خیر. با این حال، نتیجه بر خلاف AV های قبلی که شناسایی شده‌اند، تأثیرگذاری بر روی backdoor ندارد.
به نظر می‌رسد گروه هکر FIN7 از اواسط سال 2015 فعال است، این گروه همچنان ابزارهای جدیدی را به منظور دور زدن و شکست راه حل‌های امنیتی توسعه می‌دهند.

هر دو ابزار BIOLOAD و نسخه‌ جدید Carbanak توسط بیشتر موتورهای AV کشف نشده‌اند، در پایین نتایج حاصل از پویش سامانه Virus total نشان داده شده است.

IOCs

WinBio.dll (scrubbed key and payload) SHA256
7bdae0dfc37cb5561a89a0b337b180ac6a139250bd5247292f470830bd96dda7
c1c68454e82d79e75fefad33e5acbb496bbc3f5056dfa26aaf1f142cee1af372

Carbanak SHA256
77a6fbd4799a8468004f49f5929352336f131ad83c92484b052a2eb120ebaf9a
42d3cf75497a724e9a9323855e0051971816915fc7eb9f0426b5a23115a3bdcb

این #‫آسیب‌پذیری از قابلیت #pingback فایل xmlrpc که در هسته‌ی وردپرس وجود دارد برای اعمال حملات Dos به وب‌سایت استفاده می‌کند و نتیجتاً وب‌سایت از دسترس خارج می‌شود. وردپرس‌های نسخه 5.3 به پایین آسیب‌پذیر هستند.
منشاء آسیب‌پذیری
آسیب‌پذیری از دو تابع system.multicall و pingback.ping در هسته‌ی وردپرس نشات می‌گیرد. تابع system.multicall امکان فراخوانی دیگر APIها را فراهم می‌کند و از طرفی تابع pingback.ping برای ارسال درخواست HTTPS از سرور وردپرس به هر آدرس دلخواهی استفاده می‌شود. ارسال تعداد زیادی درخواست‌های pingback.ping به سرور با استفاده از قابلیت multicall باعث اشغال بیش از حد منابع سرور شده و در نهایت موجب از دسترس خارج شدن وبسایت وردپرسی می‌شود (Denial of Service).
اکسپلویت آسیب‌پذیری
اکسپلویت منتشر شده برای این آسیب‌پذیری یک اسکریپت پایتونی (Python3) است که منجر به مصرف بیش از حد حافظه و CPU سرور آپاچی توسط سرویس MySQL می‌شود. سرورهای NGINX نیز در صورت استفاده از php-fpm آسیب‌پذیر هستند.
شکل زیر صفحه‌ی لاگین سایت وردپرسی آسیب‌پذیر را بعد از عملیاتی کردن آسیب‌پذیری نشان می‌دهد.

برای غیرفعال کردن XML-PRC در وردپرس کافی است قطعه کد زیر را در فایل .htaccess در پوشه public_html قرار دهید.
# Block WordPress xmlrpc.php requests
order deny,allow
deny from all
allow from 123.123.123.123

روش دیگر استفاده از افزونه Remove XML-RPC Pingback Pingاست که XML-PRC را بطور کل غیرفعال نمی‌کند و تنها ویژگی pingback وب‌سایت غیرفعال می‌شود.
منبع
https://cxsecurity.com/issue/WLB-2019120088

اینتل یک #‫آسیب‌پذیری در Rapid Storage Technology (RST) برطرف کرده است که به یک مهاجم محلی اجازه می‌دهد امتیازات خود را به امتیاز سیستمی ارتقا دهد.
RST یک برنامه‌ی مبتنی بر ویندوز در بسیاری از رایانه‌هایی است که از تراشه‌های Intel برای ارایه‌ی عملکرد و قابلیت اطمینان بیشتر هنگام استفاده از دیسک‌های SATA بهره می‌برند.
این نقص امنیتی که با شناسه‌ی CVE-2019-14568 ردیابی می‌شود و امتیاز CVSS آن 6.7 است می‌تواند برای دورزدن دفاع‌ها مورد سوءاستفاده قرار گیرد و از طریق بارگذاری یک DLL دلخواه امضانشده (unsigned) به فرایندی که با امتیازات سیستمی اجرا می‌شود به پایداری برسد. مهاجم برای سوءاستفاده از این آسیب‌پذیری نیاز به امتیازات مدیریتی در سیستم دارد.
این آسیب‌پذیری مشابه مواردی است که اخیراً در محصولاتی از Kaspersky، McAfee، Symantec، Avast و Avira کشف شده است و به مهاجم اجازه می‌دهد یک DLL مخرب را در سیستم متأثر قرار دهد و آن را به یک فرایند ممتاز بارگذاری کند.
دلیل اصلی این آسیب‌پذیری این است که هیچ اعتبارسنجی امضا علیه فایل‌های DLL‌ که سرویس IAStorDataMgrSvc.exe (یک فرایند مربوط به Intel RST که با امتیازات سیستمی امضا و اجرا می‌شود)، تلاش می‌کند بارگذاری کند، انجام نمی‌شود. از آنجاییکه این فایل‌ها وجود ندارند، یک مهاجم می‌تواند فایل‌های DLL دلخواه را جای دهد و این سرویس آن را بارگذاری خواهد کرد.
با سوءاستفاده از این مشکل، مهاجم می‌تواند یک خرابکاری را ضمن فرار از شناسایی‌شدن، بارگذاری و اجرا کند. علاوه‌براین، این خرابکاری می‌تواند به صورت مداوم هر بار که این سرویس شروع به کار می‌کند، اجرا شود.
این آسیب‌پذیری، نسخه‌های پیش از Intel RST 17.7.0.1006 را تحت‌تأثیر قرار می‌دهد و توصیه می‌شود هر چه سریعتر به نسخه‌ی وصله‌شده به‌روزرسانی شود.

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00324.html