MKD-CIRT National Centre for Computer Incident Response
10-годишна ранливост на Windows сè уште се експлоатира во напади каде извршните датотеки се легитимно потпишани, а поправката од страна на Microsoft сè уште е на чекање по сите овие години. Уште полошо, поправката се отстранува по надградбата на Windows 11.
Во средата вечерта, се појавија вести дека VoIP компанијата за комуникација 3CX била компромитирана да дистрибуира тројанизирани верзии на својата Windows десктоп апликација во supply chain нападот од големи размери.
Како дел од овој supply chain напад, две DLL кои ги користеше Windows десктоп апликацијата беа заменети со малициозни верзии кои преземаат дополнителен малициозен софтвер на компјутерите, како што е тројанец за крадење информации.
Еден од малициозните DLL што се користат во нападот обично е легитимен DLL потпишан од страна на Microsoft со име d3dcompiler_47.dll. Сепак, хакерите го изменија DLL за да вклучи шифриран малициозен payload на крајот од датотеката.
Како што беше прво забележано, иако датотеката беше изменета, Windows сепак ја покажа како правилно потпишана од страна на Microsoft.
Потпишувањето код на извршна датотека, како што е DLL или EXE датотеката, има за цел да ги увери корисниците на Windows дека датотеката е автентична и не е изменета за да вклучува малициозен код.
Кога потпишаната извршна датотека е изменета, Windows ќе прикаже порака во која се наведува дека „дигиталниот потпис на објектот не е потврден“. Сепак, иако знаеме дека d3dcompiler_47.dll DLL беше изменет, тој сепак се покажа како потпишан во Windows.
После контактирањето на Will Dormann, виш аналитичар за ранливост во ANALYGENCE, за ова однесување и споделување на DLL, беше кажано дека DLL го искористува CVE-2013-3900 пропустот, „WinVerifyTrust Signature Validation Ranability“.
Microsoft првпат ја откри оваа ранливост на 10 декември 2013 година и објасни дека додавањето содржина во делот за потпис за автентикод на EXE (WIN_CERTIFICATE структура) во потпишана извршна датотека е можно без да се поништи потписот.
На пример, Dormann во твитовите објасни дека Google Chrome инсталерот додава податоци во Authenticode структурата за да утврди дали сте се одлучиле за „испраќање статистика за користење и извештаи за падови до Google“. Кога ќе се инсталира Google Chrome, ќе го провери потписот за автентикод за овие податоци за да утврди дали треба да се овозможат дијагностички извештаи.
Microsoft на крајот одлучи да ја направи поправката опционална, веројатно затоа што ќе ги поништи легитимните, потпишани извршни датотеки што складираа податоци во блокот за потпис на извршна датотека.
„На 10 декември 2013 година, Microsoft објави ажурирање за сите поддржани изданија на Microsoft Windows што го менува начинот на кој се проверуваат потписите за бинарни датотеки потпишани со Windows Authenticode“ формат на потпис, се објаснува во обелоденувањето на Microsoft за CVE-2013-3900.
„Кога е овозможено, новото однесување за проверка на потписот на Windows Authenticode веќе нема да дозволува дополнителни информации во WIN_CERTIFICATE структурата, а Windows веќе нема да препознава неусогласени бинарни датотеки како потпишани“.
Сега десет години подоцна, познато е дека ранливоста е искористена од страна на бројни хакери.
Откако ќе се овозможат овие клучеви во регистарот, може да се забележи колку поинаку Microsoft го потврдува потписот во малициозниот d3dcompiler_47.dll DLL што се користи во 3CX supply chain нападот.
Дури и ако ги додадете клучевите од регистарот за да ја примените поправката, тие ќе бидат отстранети откако ќе го надградите Windows 11, што ќе го направи вашиот уред повторно ранлив.
Бидејќи ранливоста се користеше во неодамнешните напади, како што е 3CX supply chain и кампањата за дистрибуција на малициозен софтвер Zloader во јануари, стана јасно дека треба да се поправи, дури и ако тоа им создава непријатности на програмерите.
За жал, повеќето не знаат за овој недостаток и кога ќе погледнат малициозна датотека ќе претпостават дека е доверлива бидејќи Windows известува дека е така.
„Но, кога поправката е изборна, уредите нема да бидат заштитени“, предупреди Dormann.
Ја овозможив опционалната поправка, го користев компјутерот како и обично во текот на денот и не наидов на никакви проблеми.
Иако ова може да предизвика проблем кај некои инсталатери, како што е Google Chrome, да не се прикажуваат како потпишани, дополнителната заштита вреди за непријатностите.
BleepingComputer контактираше со Microsoft за континуираната злоупотреба на овој пропуст, но не доби одговор.
Извор: BleepingComputer
