Uma vulnerabilidade do Windows de 10 anos ainda está sendo explorada em ataques para fazer parecer que os executáveis são assinados legitimamente, com a correção da Microsoft ainda sendo "opt-in" depois de todos esses anos.
Pior ainda, a correção é removida após a atualização para o Windows 11.
Na noite de quarta-feira, foi noticiado que a empresa de comunicações VoIP 3CX foi comprometida para distribuir versões trojanizadas de seu aplicativo de desktop do Windows em um ataque de cadeia de suprimentos em grande escala.
Como parte desse ataque de cadeia de suprimentos, dois DLLs usados pelo aplicativo de desktop do Windows foram substituídos por versões maliciosas que baixam malware adicional para computadores, como um trojan de roubo de informações.
Um dos DLLs maliciosos usados no ataque é geralmente um DLL legítimo assinado pela Microsoft chamado d3dcompiler_47.dll.
No entanto, os atores da ameaça modificaram o DLL para incluir uma carga maliciosa criptografada no final do arquivo.
Como observado pela primeira vez ontem, mesmo que o arquivo tenha sido modificado, o Windows ainda o mostrava como corretamente assinado pela Microsoft.
A assinatura de código de um executável, como um arquivo DLL ou EXE, destina-se a garantir aos usuários do Windows que o arquivo é autêntico e não foi modificado para incluir código malicioso.
Quando um executável assinado é modificado, o Windows exibirá uma mensagem indicando que "a assinatura digital do objeto não foi verificada".
No entanto, mesmo sabendo que o DLL d3dcompiler_47.dll foi modificado, ele ainda foi mostrado como assinado no Windows.
Após entrar em contato com Will Dormann, analista de vulnerabilidades sênior da ANALYGENCE, sobre esse comportamento e compartilhar o DLL, fomos informados de que o DLL está explorando a falha
CVE-2013-3900
, uma "Vulnerabilidade de Validação de Assinatura WinVerifyTrust".
A Microsoft divulgou inicialmente essa vulnerabilidade em 10 de dezembro de 2013 e explicou que é possível adicionar conteúdo à seção de assinatura autêntica do EXE (WIN_CERTIFICATE structure) em um executável assinado sem invalidar a assinatura.
Por exemplo, Dormann explicou em tweets que o instalador do Google Chrome adiciona dados à estrutura Authenticode para determinar se você optou por "enviar estatísticas de uso e relatórios de falhas para o Google".
Quando o Google Chrome é instalado, ele verificará a assinatura autêntica desses dados para determinar se os relatórios de diagnóstico devem ser ativados.
A Microsoft decidiu tornar a correção opcional, provavelmente porque invalidaria executáveis legítimos e assinados que armazenavam dados no bloco de assinatura de um executável.
"Em 10 de dezembro de 2013, a Microsoft lançou uma atualização para todas as versões suportadas do Microsoft Windows que altera como as assinaturas são verificadas para binários assinados com o formato de assinatura Windows Authenticode", explica a divulgação da Microsoft para o
CVE-2013-3900
.
"Essa alteração pode ser habilitada com base em uma opção."
"Quando habilitado, o novo comportamento para verificação de assinatura de código autêntico do Windows não permitirá informações extras na estrutura WIN_CERTIFICATE, e o Windows não reconhecerá mais binários não compatíveis como assinados."
Agora, quase dez anos depois, com a vulnerabilidade conhecida por ser explorada por inúmeros atores da ameaça, ela ainda é uma correção opcional que só pode ser habilitada editando manualmente o Registro do Windows.
Para habilitar a correção, os usuários do Windows em sistemas de 64 bits podem fazer as seguintes alterações no Registro:
Uma vez que essas chaves de registro são habilitadas, você pode ver como a Microsoft valida a assinatura de maneira diferente no DLL malicioso d3dcompiler_47.dll usado no ataque de cadeia de suprimentos 3CX.
Para piorar as coisas, mesmo se você adicionar as chaves do Registro para aplicar a correção, elas serão removidas após a atualização para o Windows 11, tornando seu dispositivo vulnerável novamente.
Como a vulnerabilidade tem sido usada em ataques recentes, como a cadeia de suprimentos 3CX e uma campanha de distribuição de malware Zloader em janeiro, ficou claro que ela deve ser corrigida, mesmo que isso incomode os desenvolvedores.
Infelizmente, a maioria não sabe sobre essa falha e olhará para um arquivo malicioso e assumirá que é confiável, já que o Windows o reporta como tal.
"Mas quando uma correção é opcional, as massas não estarão protegidas", alertou Dormann.
Eu habilitei a correção opcional, usei o computador normalmente durante o dia e não encontrei nenhum problema que me fizesse lamentar minha decisão.
Embora isso possa causar problemas com alguns instaladores, como o Google Chrome, não sendo mostrado como assinado, a proteção adicionada vale o inconveniente.
O BleepingComputer entrou em contato com a Microsoft sobre o abuso contínuo dessa falha e apenas ser uma correção opcional, mas ainda não recebeu uma resposta.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...