Een beveiligingslek in een audiodriver van fabrikant Realtek maakt het mogelijk voor aanvallers die al toegang tot een computer hebben om systeemrechten te krijgen. Realtek heeft een nieuwe audiodriver uitgebracht waarin de kwetsbaarheid is verholpen.
De kwetsbaarheid in de Realtek High definition audio driver werd veroorzaakt door de manier waarop de driver met dll-bestanden omging. Een aanvaller die toegang tot een systeem had en een kwaadaardig dll-bestand in de Realtek-drivermap wist te krijgen kon het dll-bestand door de driver laten starten. Het kwaadaardige dll-bestand zou dan door een gesigneerd Realtek-proces worden geladen. Dit proces draait met systeemrechten, waardoor ook de kwaadaardige code van de aanvaller met systeemrechten zou zijn uitgevoerd.
Om de aanval uit te kunnen voeren zou een aanvaller wel al beheerderstoegang tot de machine moeten hebben. Audiodrivers van Realtek zijn op miljoenen systemen aanwezig. Daarnaast zou een aanvaller via de kwetsbaarheid zijn kwaadaardige code kunnen verbergen en bijvoorbeeld applicatie-whitelisting kunnen omzeilen, aangezien de code vanuit het vertrouwde Realtek-proces werd gestart.
Het beveiligingslek werd gevonden door onderzoeker Peleg Hadar van SafeBreach Labs. Het bedrijf stuurde Realtek begin juli een eerste melding via e-mail, gevolgd door meer informatie halverwege augustus. SafeBreach gaf Realtek negentig dagen om het probleem te verhelpent. De fabrikant vroeg om meer tijd, dat het ook kreeg. Realtek heeft de kwetsbaarheid verholpen in versie 1.0.0.8856 van de HD-audiodriver. Tevens publiceerde de fabrikant in januari een waarschuwing voor het lek, waavan de impact als "high" is beoordeeld.
Deze posting is gelocked. Reageren is niet meer mogelijk.