将本地 USB 设备重定向到远程系统的软件中未修补的漏洞可能通过添加伪造设备来帮助攻击者提升目标计算机上的特权。
该漏洞被标识为 CVE-2020-9332,位于 FabulaTech 开发的“用于远程桌面的 USB”的总线驱动程序中。该公司拥有来自各行各业的知名组织,其客户名单令人印象深刻。其中包括谷歌、微软、宝马、万事达卡、美国宇航局、路透社、英特尔、雪佛龙、雷神、施乐、哈佛、通用电气和 Raiffeisen 银行。
USB 重定向解决方案的工作方式是通过客户端/服务器端软件使 USB 设备在网络上看起来就像连接到本地计算机一样。
客户端软件收集的有关重定向设备的信息将发送到远程计算机上运行的服务器。服务器使用总线驱动程序创建并指示虚拟对象重复来自真实设备的所有输入输出通信。
这样,欺骗了远程系统上的操作系统(OS),使他们相信已连接了真正的 USB 设备。
SentinelOne 研究人员发现,FabulaTech 的总线驱动程序调用了不安全的 IoCreateDevice 例程,该例程没有安全检查来阻止来自特权较低实体的访问。
“通常,