Cyberthreat.id - SafeBreach, perusahaan cybersecurity yang berbasis di Sunnyvale, California dan Tel Aviv, Israel, menemukan kerentanan yang dapat dieksploitasi pelaku serangan siber pada software perangkat Acer dan Asus. Kerentanan tersebut terindikasi pada software  Acer Quick Access, dan layanan ASLDR aplikasi (AsLdrSrv.exe) Asus.

“Kerentanan yang ditemukan dalam perangkat lunak Acer dan ASUS yang diinstal pada sebagian besar Personal Computer (PC) dari perusahaan-perusahaan ini dapat menyebabkan peningkatan hak istimewa dan pelaksanaan muatan yang sewenang-wenang,” tulis SafeBreach, seperti dikutip dari SecurityWeek, Rabu (18 Desember 2019).

Bug pertama yang memengaruhi Acer Quick Access, sebuah aplikasi yang memungkinkan pengguna untuk mengaktifkan atau menonaktifkan perangkat nirkabel, untuk memodifikasi pengaturan daya USB dan opsi berbagi jaringan.

Terkait celah kemanan ini,  SafeBreach menjelaskan, bahwa bagian dari perangkat lunak berjalan dengan hak istimewa SISTEM.  Dan itu secara tidak aman mencoba memuat tiga file DLL yang hilang.

Seorang penyerang, kata SafeBreach, dengan hak administrator dapat menanam versi jahat dari file-file yang hilang ini, dan mereka akan dieksekusi dengan izin yang lebih tinggi.

“Dengan mengeksploitasi celah keamanan ini, penyerang dapat memuat dan mengeksekusi muatan berbahaya menggunakan layanan yang ditandatangani, dan juga dapat mencapai kegigihan.  Muatan itu akan berjalan setiap kali layanan dieksekusi,” jelas SafeBreach.

SafeBreach telah melaporkan ke Acer pada September 2019, dan dilacak celah kemanan tersebut, sebagai CVE-2019-18670. Kerentanan itu dialamatkan di Acer Quick Access versi 2.01.3028 dan 3.00.3009.

Sedangkan, pada perangkat Asus, SafeBreach menemukan cacat  berdampak pada Paket ATK ASUS dan dapat dieksploitasi selama fase pasca-kompromi serangan, untuk mencapai kegigihan dan menghindari deteksi.

Para peneliti menemukan bahwa Layanan ASLDR aplikasi (AsLdrSrv.exe), sebuah proses yang ditandatangani yang berjalan pada startup sistem dengan hak istimewa SYSTEM, berupaya menemukan file EXE yang hilang sebelum memuat yang dapat dieksekusi yang diperlukan.

“Dengan demikian, penyerang dapat menyalahgunakan kelemahan untuk memuat dan menjalankan eksekusi tanpa tanda tangan dalam konteks proses istimewa. Ini dapat menyebabkan penghindaran dan kegigihan pertahanan, karena muatan akan dijalankan setiap kali layanan dimulai,” ungkap SafeBreach.

SafeBreach kemudian melacak kerentanan tersebut, dan ditemukan sebagai CVE-2019-19235. Kerentanan ditemukan berdampak pada Paket ATK ASUS 1.0.0060 dan semua versi sebelumnya, dan ditangani pada bulan November dengan merilis Paket ATK 1.0.0061.