Търсене
Close this search box.

10-годишен бъг в Windows с „opt-in“ поправка, използван при атака на 3CX

Десетгодишна уязвимост на Windows все още се използва при атаки, за да изглежда, че изпълнимите файлове са законно подписани, като поправката от Microsoft все още е „opt-in“ след всички тези години. Още по-лошо, поправката се премахва след обновяване до Windows 11.

В сряда вечерта се появи новина, че компанията за VoIP комуникации 3CX е била компрометирана, за да разпространява троянски версии на своето десктоп приложение за Windows в рамките на мащабна атака по веригата за доставки.

Като част от тази атака по веригата за доставки два DLL, използвани от настолното приложение на Windows, са били заменени със злонамерени версии, които изтеглят допълнителен зловреден софтуер на компютрите, като например троянски кон за кражба на информация.

Единият от злонамерените DLL, използвани в атаката, обикновено е легитимен DLL, подписан от Microsoft, с име d3dcompiler_47.dll. Извършителите обаче са модифицирали DLL, за да включат криптиран зловреден полезен товар в края на файла.

Както бе отбелязано за първи път вчера, въпреки че файлът е бил модифициран, Windows все още го показва като коректно подписан от Microsoft.

Кодовото подписване на изпълним файл, като DLL или EXE файл, има за цел да увери потребителите на Windows, че файлът е автентичен и не е модифициран, за да включва зловреден код.

Когато подписан изпълним файл е модифициран, Windows ще покаже съобщение, в което се посочва, че „цифровият подпис на обекта не се е потвърдил“. Въпреки това, въпреки че знаем, че DLL d3dcompiler_47.dll е бил модифициран, той все още се показва като подписан в Windows.

След като колеги се свързаха с Уил Дорман, старши анализатор на уязвимости в ANALYGENCE, относно това поведение и споделихме DLL, им беше казано, че DLL използва дефекта CVE-2013-3900, „WinVerifyTrust Signature Validation Vulnerability“.

Microsoft разкри за първи път тази уязвимост на 10 декември 2013 г. и обясни, че добавянето на съдържание към секцията за автентичен подпис на EXE (структурата WIN_CERTIFICATE) в подписан изпълним файл е възможно, без да се обезсилва подписът.

Например Дорман обясни в туитове, че инсталаторът на Google Chrome добавя данни към структурата Authenticode, за да определи дали сте се съгласили да „изпращате статистически данни за използването и доклади за сривове на Google“. Когато Google Chrome бъде инсталиран, той ще провери автентичния подпис за тези данни, за да определи дали трябва да се активират диагностичните доклади.

В крайна сметка Microsoft реши да направи поправката незадължителна, вероятно защото тя би обезсилила легитимни, подписани изпълними файлове, които съхраняват данни в блока на подписа на изпълнимия файл.

„На 10 декември 2013 г. Microsoft пусна актуализация за всички поддържани версии на Microsoft Windows, която променя начина, по който се проверяват подписите за двоични файлове, подписани с формата за подпис Windows Authenticode“, се обяснява в разкритието на Microsoft за CVE-2013-3900.

„Тази промяна може да бъде активирана на базата на избор.“

„Когато бъде активирана, новото поведение за проверка на подписите на Windows Authenticode вече няма да позволява чужда информация в структурата WIN_CERTIFICATE и Windows вече няма да разпознава несъответстващи двоични файлове като подписани.“

Вече са минали близо десет години, като е известно, че уязвимостта се използва от множество хакери. Въпреки това тя остава поправка, която може да бъде активирана само чрез ръчно редактиране на регистъра на Windows.

За да активират поправката, потребителите на 64-битови системи с Windows могат да направят следните промени в системния регистър:

Windows Registry Editor Version 5.00  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   
„EnableCertPaddingCheck“=“1“

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] 
„EnableCertPaddingCheck“=“1“

Още по-лошо е, че дори да добавите ключовете в системния регистър, за да приложите поправката, те ще бъдат премахнати, след като преминете към Windows 11, което ще направи устройството ви отново уязвимо.

Тъй като уязвимостта беше използвана при скорошни атаки, като веригата за доставки 3CX и кампанията за разпространение на зловреден софтуер Zloader през януари, стана ясно, че тя трябва да бъде отстранена, дори това да създаде неудобства на разработчиците.

За съжаление повечето от тях не знаят за този недостатък и ще погледнат злонамерен файл и ще приемат, че е надежден, тъй като Windows го докладва като такъв.

„Но когато поправката не е задължителна, масите няма да бъдат защитени“, предупреждава Дорман.

„Активирах незадължителната поправка, използвах компютъра както обикновено през деня и не се сблъсках с никакви проблеми, които да ме накарат да съжалявам за решението си.“ – завършва тпй.

Въпреки че това може да доведе до проблем с някои инсталатори, като Google Chrome, които не се показват като подписани, допълнителната защита си заслужава неудобството.

Източник: По материали от Интернет

Подобни публикации

28 февруари 2024

Китай стартира нов план за киберзащита на индус...

Тази седмица Министерството на промишлеността и информационните тех...
28 февруари 2024

Уязвимостта на плъгина WordPress LiteSpeed изла...

В плъгина LiteSpeed Cache за WordPress е разкрита уязвимост в сигур...
28 февруари 2024

Xeno RAT се превръща в мощна заплаха в GitHub

В GitHub е публикуван „сложно проектиран“ троянски кон ...
28 февруари 2024

Хакването на Optum е свързано с рансъмуера Blac...

Кибератаката срещу дъщерното дружество на UnitedHealth Group Optum,...
28 февруари 2024

Новата версия на IDAT loader използва стеганогр...

Хакерска група, проследена като „UAC-0184“, е забелязан...
28 февруари 2024

DOOM идва в интелигентните косачки Husqvarna

Ако някога сте искали да играете DOOM на косачка за трева, скоро ще...
28 февруари 2024

Белият дом призовава да се премине към езици за...

Службата на националния кибердиректор на Белия дом (ONCD) призова д...
28 февруари 2024

Предимства на включването на услугата MDR в офе...

Кибератаките се развиват и стават все по-усъвършенствани, а организ...
Бъдете социални
Още по темата
19/02/2024

С Gemini Google ще спечели ...

Google, подобно на колегите си от...
15/02/2024

Microsoft и OpenAI предупре...

Microsoft публикува доклад, в който подробно...
14/02/2024

Актуализацията на Microsoft...

Microsoft автоматично активира функцията Windows Extended...
Последно добавени
28/02/2024

Китай стартира нов план за ...

Тази седмица Министерството на промишлеността и...
28/02/2024

Уязвимостта на плъгина Word...

В плъгина LiteSpeed Cache за WordPress...
28/02/2024

Xeno RAT се превръща в мощ...

В GitHub е публикуван „сложно проектиран“...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!