Realtek关闭了高清音频驱动程序中的DLL劫持漏洞

　　Realtek关闭了高清音频驱动程序中的DLL劫持漏洞

　　供应商Realtek已关闭其HD审计驱动程序包中的DLL劫持漏洞。这里是有关此问题的一些信息。
相关阅读：
win10专业版找不到Alienware驱动程序序怎么办
Windows 10 May 2019更新版本1903的已知和已解决的问

　　Realtek音频驱动程序包中的漏洞

　　我通过Bleeping Computer遇到了这个问题。Peleg Hadar发现了DLL劫持漏洞，并在此推文中指出了问题。

　　CVE-2019-19705 –我在Realtek Windows驱动程序包中发现了一个漏洞，该漏洞影响了许多PC用户：https : //t.co/5MpYix6t7o

　　— Peleg Hadar(@peleghd)2020年2月4日

　　Hadar 在本文中描述了SafeBreach Labs使用自己的保护DLL发现的漏洞CVE-2019-19705，并发现MFC应用程序RAVBg64.exe(由Realtek拥有)重新加载DLL而不考虑其路径。因此，Windows将从当前工作目录中重新加载丢失的(系统)DLL。

　　具体来说，以NT AUTHORITY SYSTEM运行的高清音频后台进程尝试从工作目录加载RAVBg64ENU.dll和RAVBg64LOC.dll

　　C： Program Files Realtek Audio HDA

　　即使未在其中找到DLL。具有适当权限的攻击者可以使用此文件将具有此名称的自己文件放置在此文件夹中。这些将由高清音频后台进程加载，并允许恶意软件持久地锚定在系统中。

　　漏洞已修复，旧的驱动程序包已成问题

　　该漏洞已于2019年7月10日报告给Realtek，并于2019年12月13日通过补丁关闭。可在Realtek HD Audio驱动程序版本8857或更高版本中找到此修复程序。使用Microsoft Visual Studio 2005(VS2005)创建的8855之前的驱动程序版本仍然容易受到攻击。