Десетгодишна уязвимост на Windows все още се използва при атаки, за да изглежда, че изпълнимите файлове са законно подписани, като поправката от Microsoft все още е „opt-in“ след всички тези години. Още по-лошо, поправката се премахва след обновяване до Windows 11.

В сряда вечерта се появи новина, че компанията за VoIP комуникации 3CX е била компрометирана, за да разпространява троянски версии на своето десктоп приложение за Windows в рамките на мащабна атака по веригата за доставки.

Като част от тази атака по веригата за доставки два DLL, използвани от настолното приложение на Windows, са били заменени със злонамерени версии, които изтеглят допълнителен зловреден софтуер на компютрите, като например троянски кон за кражба на информация.

Единият от злонамерените DLL, използвани в атаката, обикновено е легитимен DLL, подписан от Microsoft, с име d3dcompiler_47.dll. Извършителите обаче са модифицирали DLL, за да включат криптиран зловреден полезен товар в края на файла.

Както бе отбелязано за първи път вчера, въпреки че файлът е бил модифициран, Windows все още го показва като коректно подписан от Microsoft.

Кодовото подписване на изпълним файл, като DLL или EXE файл, има за цел да увери потребителите на Windows, че файлът е автентичен и не е модифициран, за да включва зловреден код.

Когато подписан изпълним файл е модифициран, Windows ще покаже съобщение, в което се посочва, че „цифровият подпис на обекта не се е потвърдил“. Въпреки това, въпреки че знаем, че DLL d3dcompiler_47.dll е бил модифициран, той все още се показва като подписан в Windows.

След като колеги се свързаха с Уил Дорман, старши анализатор на уязвимости в ANALYGENCE, относно това поведение и споделихме DLL, им беше казано, че DLL използва дефекта CVE-2013-3900, „WinVerifyTrust Signature Validation Vulnerability“.

Microsoft разкри за първи път тази уязвимост на 10 декември 2013 г. и обясни, че добавянето на съдържание към секцията за автентичен подпис на EXE (структурата WIN_CERTIFICATE) в подписан изпълним файл е възможно, без да се обезсилва подписът.

Например Дорман обясни в туитове, че инсталаторът на Google Chrome добавя данни към структурата Authenticode, за да определи дали сте се съгласили да „изпращате статистически данни за използването и доклади за сривове на Google“. Когато Google Chrome бъде инсталиран, той ще провери автентичния подпис за тези данни, за да определи дали трябва да се активират диагностичните доклади.

В крайна сметка Microsoft реши да направи поправката незадължителна, вероятно защото тя би обезсилила легитимни, подписани изпълними файлове, които съхраняват данни в блока на подписа на изпълнимия файл.

„На 10 декември 2013 г. Microsoft пусна актуализация за всички поддържани версии на Microsoft Windows, която променя начина, по който се проверяват подписите за двоични файлове, подписани с формата за подпис Windows Authenticode“, се обяснява в разкритието на Microsoft за CVE-2013-3900.

„Тази промяна може да бъде активирана на базата на избор.“

„Когато бъде активирана, новото поведение за проверка на подписите на Windows Authenticode вече няма да позволява чужда информация в структурата WIN_CERTIFICATE и Windows вече няма да разпознава несъответстващи двоични файлове като подписани.“

Вече са минали близо десет години, като е известно, че уязвимостта се използва от множество хакери. Въпреки това тя остава поправка, която може да бъде активирана само чрез ръчно редактиране на регистъра на Windows.

За да активират поправката, потребителите на 64-битови системи с Windows могат да направят следните промени в системния регистър:

Windows Registry Editor Version 5.00  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   
„EnableCertPaddingCheck“=“1“

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] 
„EnableCertPaddingCheck“=“1“

Още по-лошо е, че дори да добавите ключовете в системния регистър, за да приложите поправката, те ще бъдат премахнати, след като преминете към Windows 11, което ще направи устройството ви отново уязвимо.

Тъй като уязвимостта беше използвана при скорошни атаки, като веригата за доставки 3CX и кампанията за разпространение на зловреден софтуер Zloader през януари, стана ясно, че тя трябва да бъде отстранена, дори това да създаде неудобства на разработчиците.

За съжаление повечето от тях не знаят за този недостатък и ще погледнат злонамерен файл и ще приемат, че е надежден, тъй като Windows го докладва като такъв.

„Но когато поправката не е задължителна, масите няма да бъдат защитени“, предупреждава Дорман.

„Активирах незадължителната поправка, използвах компютъра както обикновено през деня и не се сблъсках с никакви проблеми, които да ме накарат да съжалявам за решението си.“ – завършва тпй.

Въпреки че това може да доведе до проблем с някои инсталатори, като Google Chrome, които не се показват като подписани, допълнителната защита си заслужава неудобството.