Cảnh báo Lỗ hổng trong Driver âm thanh Realtek trên Windows

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Realtek gần đây đã xác nhận một lỗ hổng nghiêm trọng trong HD Audio Driver Package dành cho Windows. Khi bị khai thác, lỗ hổng này có thể cho phép kẻ xấu qua mắt các cơ chế bảo mật và thực thi mã độc trên hệ thống.

Lỗ hổng của Realtek HD Audio Driver

SafeBreach Labs đã phát hiện ra một lỗ hổng nghiêm trọng trong Realtek HD Audio Driver Package cho Windows. Theo bài viết của họ, lỗi bảo mật cho phép hacker chiếm quyền điều khiển dll (dll-hijacking) và đặt tên là CVE-2019-19705. Lỗi này có thể dẫn đến các mối đe dọa bảo mật nghiêm trọng cho các hệ thống Windows.

Theo các nhà nghiên cứu, CVE-2019-19705 có thể cho phép kẻ tấn công chạy mã độc. Lỗ hổng này đã ảnh hưởng đến “HD Audio Background Process”  (RAVBg64.exe) đã thực thi dưới dạng NT AUTHORITY\SYSTEM. Khi quá trình này diễn ra, process sẽ tải về các tệp DLL lỗi.

“Sau khi chạy, hệ thống sẽ cố gắng tải các tệp RAVBg64ENU.dllRAVBg64LOC.dll vào (vốn không có trong) thư mục riêng của nó.”

Lúc này, kẻ tấn công sẽ có đặc quyền quản trị viên có thể tải lên một tệp dll tùy ý và thực thi mã độc. Việc này có thể xảy ra do thiếu cách thức xác nhận đặc trưng và sử dụng phần mềm lỗi thời.

Các nhà nghiên cứu cũng đã chia sẻ PoC về lỗ hổng này trong bài viết của họ.

Realtek phát hành các bản vá

Lỗi trong Realtek HD Audio Driver nếu bị kẻ xấu khai thác có thể gây hậu quả nghiêm trọng. Chẳng hạn, nó có thể cho phép một kẻ xấu qua mắt bộ lọc whitelisting và thực thi mã độc liên tục.

Như Realtek đã xác nhận trong bài viết, lỗi đã ảnh hưởng đến trình điều khiển Realtek HD Audio Driver phiên bản Legacy (non-DCH type) 1.0.0.8855. Do đó, tất cả các PC mang card âm thanh Realtek đều có thể có lỗ hổng này.

Do đó, các nhà cung cấp đã vá lỗ hổng với việc phát hành trình điều khiển Realtek HD Audio Driver phiên bản Legacy (non-DCH type) 1.0.0.8856.

Để được bảo vệ máy tính khỏi nguy cơ bị tấn công, người dùng cần đảm bảo rằng hệ thống của họ đang chạy phiên bản Realtek HD Audio Driver mới nhất.

Trước đó, SafeBreach Labs cũng đã phát hiện các lỗi tương tự trong nhiều chương trình chống vi-rút và phần mềm khác như TeamViewer.

Quỳnh Thảo

Bài gốc: https://latesthackingnews.com/2020/02/10/realtek-patched-dll-hijacking-vulnerability-in-hd-audio-driver/