与华硕的一样,这个漏洞是一个幻像 DLL 劫持。在用户登录时,安装 Acer Care Center 时创建的名为“软件更新应用程序”的计划任务运行名为ListCheck.exe
. 正如计划任务配置中所指定的,二进制文件以登录用户可用的最高权限运行(如果用户是BUILTIN\Administrators
组的一部分,这意味着高完整性)。然后产生的进程尝试profapi.dll
通过首先查看C:\ProgramData\OEM\UpgradeTool\
目录来加载。
所述目录的 ACL 配置不正确(通常它们不适用于 的子文件夹C:\ProgramData\
),这意味着非特权用户对其具有写入权限,因此可以将恶意软件放在那里,该恶意软件profapi.dll
将由 ListCheck.exe 加载并执行。
这意味着,如果特权用户登录,恶意软件profapi.dll
将被加载并以高完整性执行,有效地以管理员身份运行任意恶意代码并实现权限提升。
Acer 已于 2021 年 12 月 27 日为 Acer Care Center 发布补丁,以修复该漏洞。为了防止在应用补丁之前漏洞被利用,只需禁用“软件更新应用程序”计划任务即可。
本文系转载,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文系转载,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。