CVE-2022-23748

Audinate Dante Discovery

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-02-06

Официальное описание

Dante Discovery contains a process control vulnerability in mDNSResponder.exe that all allows for a DLL sideloading attack. A local attacker can leverage this vulnerability in the Dante Application Library to execute arbitrary code.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-23748 представляет собой уязвимость типа DLL Sideloading в компоненте mDNSResponder.exe, который входит в состав Audinate Dante Discovery и Dante Application Library.

Проблема заключается в небезопасном поиске динамических библиотек (DLL). Процесс mDNSResponder.exe пытается загрузить необходимые библиотеки, не проверяя их абсолютный путь. Локальный злоумышленник с правами записи в директорию приложения может разместить вредоносную DLL с идентичным легитимной библиотеке именем. При запуске службы система загрузит вредоносный код вместо оригинального, что позволит атакующему выполнить произвольный код в контексте безопасности процесса (часто с правами SYSTEM).

Как исправить

Основным способом устранения уязвимости является обновление Dante Application Library и связанных продуктов до версий, где исправлен алгоритм поиска библиотек.

  1. Определите все установленные продукты Audinate (Dante Controller, Dante Virtual Soundcard, Dante Via) или стороннее ПО, использующее Dante Application Library.
  2. Скачайте актуальные версии установленного ПО с официального сайта Audinate или портала производителя вашего аудиооборудования.
  3. Установите обновления. Исправление включено в Dante Application Library версии 1.2.0 и выше.
  4. После установки проверьте версию файла mDNSResponder.exe в свойствах файла (вкладка «Подробно»).

Для автоматизированного обновления через PowerShell (если используется менеджер пакетов, например, Chocolatey):

choco upgrade dante-controller -y

Временные меры

Если немедленное обновление невозможно, примените следующие защитные меры для снижения риска эксплуатации:

  1. Ограничение прав доступа к директориям: Убедитесь, что обычные пользователи не имеют прав на запись (Write) в директории, где расположены исполняемые файлы Dante (обычно C:\Program Files (x86)\Audinate\).
icacls "C:\Program Files (x86)\Audinate" /inheritance:r /grant:r "Administrators":(OI)(CI)F /grant:r "SYSTEM":(OI)(CI)F /grant:r "Users":(OI)(CI)R
  1. Включение Safe DLL Search Mode: Убедитесь, что в системе активирован режим безопасного поиска DLL (по умолчанию включен в современных Windows, но стоит проверить реестр).
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager" /v SafeDllSearchMode /t REG_DWORD /d 1 /f

  1. Мониторинг создания файлов: Настройте аудит или используйте EDR/Sysmon для отслеживания появления новых .dll файлов в программных директориях Audinate.

  2. Изоляция критических узлов: Минимизируйте количество пользователей с правами локального входа на рабочие станции, где запущены уязвимые версии Dante Discovery, так как уязвимость требует локального доступа для размещения файла.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей