Търсене
Close this search box.

10-годишен бъг в Windows с „opt-in“ поправка, използван при атака на 3CX

Десетгодишна уязвимост на Windows все още се използва при атаки, за да изглежда, че изпълнимите файлове са законно подписани, като поправката от Microsoft все още е „opt-in“ след всички тези години. Още по-лошо, поправката се премахва след обновяване до Windows 11.

В сряда вечерта се появи новина, че компанията за VoIP комуникации 3CX е била компрометирана, за да разпространява троянски версии на своето десктоп приложение за Windows в рамките на мащабна атака по веригата за доставки.

Като част от тази атака по веригата за доставки два DLL, използвани от настолното приложение на Windows, са били заменени със злонамерени версии, които изтеглят допълнителен зловреден софтуер на компютрите, като например троянски кон за кражба на информация.

Единият от злонамерените DLL, използвани в атаката, обикновено е легитимен DLL, подписан от Microsoft, с име d3dcompiler_47.dll. Извършителите обаче са модифицирали DLL, за да включат криптиран зловреден полезен товар в края на файла.

Както бе отбелязано за първи път вчера, въпреки че файлът е бил модифициран, Windows все още го показва като коректно подписан от Microsoft.

Кодовото подписване на изпълним файл, като DLL или EXE файл, има за цел да увери потребителите на Windows, че файлът е автентичен и не е модифициран, за да включва зловреден код.

Когато подписан изпълним файл е модифициран, Windows ще покаже съобщение, в което се посочва, че „цифровият подпис на обекта не се е потвърдил“. Въпреки това, въпреки че знаем, че DLL d3dcompiler_47.dll е бил модифициран, той все още се показва като подписан в Windows.

След като колеги се свързаха с Уил Дорман, старши анализатор на уязвимости в ANALYGENCE, относно това поведение и споделихме DLL, им беше казано, че DLL използва дефекта CVE-2013-3900, „WinVerifyTrust Signature Validation Vulnerability“.

Microsoft разкри за първи път тази уязвимост на 10 декември 2013 г. и обясни, че добавянето на съдържание към секцията за автентичен подпис на EXE (структурата WIN_CERTIFICATE) в подписан изпълним файл е възможно, без да се обезсилва подписът.

Например Дорман обясни в туитове, че инсталаторът на Google Chrome добавя данни към структурата Authenticode, за да определи дали сте се съгласили да „изпращате статистически данни за използването и доклади за сривове на Google“. Когато Google Chrome бъде инсталиран, той ще провери автентичния подпис за тези данни, за да определи дали трябва да се активират диагностичните доклади.

В крайна сметка Microsoft реши да направи поправката незадължителна, вероятно защото тя би обезсилила легитимни, подписани изпълними файлове, които съхраняват данни в блока на подписа на изпълнимия файл.

„На 10 декември 2013 г. Microsoft пусна актуализация за всички поддържани версии на Microsoft Windows, която променя начина, по който се проверяват подписите за двоични файлове, подписани с формата за подпис Windows Authenticode“, се обяснява в разкритието на Microsoft за CVE-2013-3900.

„Тази промяна може да бъде активирана на базата на избор.“

„Когато бъде активирана, новото поведение за проверка на подписите на Windows Authenticode вече няма да позволява чужда информация в структурата WIN_CERTIFICATE и Windows вече няма да разпознава несъответстващи двоични файлове като подписани.“

Вече са минали близо десет години, като е известно, че уязвимостта се използва от множество хакери. Въпреки това тя остава поправка, която може да бъде активирана само чрез ръчно редактиране на регистъра на Windows.

За да активират поправката, потребителите на 64-битови системи с Windows могат да направят следните промени в системния регистър:

Windows Registry Editor Version 5.00  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   
„EnableCertPaddingCheck“=“1“

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] 
„EnableCertPaddingCheck“=“1“

Още по-лошо е, че дори да добавите ключовете в системния регистър, за да приложите поправката, те ще бъдат премахнати, след като преминете към Windows 11, което ще направи устройството ви отново уязвимо.

Тъй като уязвимостта беше използвана при скорошни атаки, като веригата за доставки 3CX и кампанията за разпространение на зловреден софтуер Zloader през януари, стана ясно, че тя трябва да бъде отстранена, дори това да създаде неудобства на разработчиците.

За съжаление повечето от тях не знаят за този недостатък и ще погледнат злонамерен файл и ще приемат, че е надежден, тъй като Windows го докладва като такъв.

„Но когато поправката не е задължителна, масите няма да бъдат защитени“, предупреждава Дорман.

„Активирах незадължителната поправка, използвах компютъра както обикновено през деня и не се сблъсках с никакви проблеми, които да ме накарат да съжалявам за решението си.“ – завършва тпй.

Въпреки че това може да доведе до проблем с някои инсталатори, като Google Chrome, които не се показват като подписани, допълнителната защита си заслужава неудобството.

Източник: По материали от Интернет

Подобни публикации

22 юни 2024

Пробивът в JAXA не е довел до изтичане на важна...

Японската космическа агенция твърди, че няма изтичане на класифицир...

Cyber Europe тества енергийния сектор

Седмото издание на Cyber Europe, едно от най-големите учения за киб...
22 юни 2024

ЕВРО 2024: Хакери удариха излъчването на Полша ...

Хакери нарушиха онлайн излъчването на мача на Полша с Австрия от Ев...
22 юни 2024

Panera Bread призна за изтичане на данни

Американската верига за бързо хранене Panera Bread е започнала да у...
21 юни 2024

Change Healthcare най-после с подробности за ат...

UnitedHealth за първи път потвърди какви видове медицински данни и ...
21 юни 2024

САЩ наложиха санкции на 12 ръководители на Kasp...

Службата за контрол на чуждестранните активи (OFAC) към Министерств...
21 юни 2024

Хакери на Хамас шпионират Палестина и Египет

Хакери, свързани с Хамас, са замесени в пет кампании за кибершпиона...
20 юни 2024

Сериозна уязвимост на Phoenix UEFI

Стотици модели компютри и сървъри, които използват процесори на Int...
Бъдете социални
Още по темата
17/06/2024

Microsoft поправи безкликов...

Morphisec предупреждава, че една от уязвимостите,...
16/06/2024

CISA предупреждава за бъг в...

Американската агенция за киберсигурност и инфраструктурна...
16/06/2024

Редмънд обяви големи промен...

Microsoft обяви нови подобрения на киберсигурността...
Последно добавени
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
22/06/2024

Cyber Europe тества енергий...

Седмото издание на Cyber Europe, едно...
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!