🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Bệnh viện Đa khoa huyện Mê Linh đã đăng ký tín nhiệm. 🔥                    🔥 UBND huyện Hoài Đức, Hà Nội đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Kim Sơn, thị xã Sơn Tây, Hà Nội đã đăng ký tín nhiệm. 🔥                   

Lỗ hổng Windows 10 năm tuổi đã bị khai thác trong các cuộc tấn công gần đây

01/04/2023

Một lỗ hổng Windows 10 năm tuổi vẫn đang bị khai thác trong các cuộc tấn công để làm cho các tệp thực thi độc hại có vẻ như được ký hợp pháp. Bản vá cho lỗ hổng đã được Microsoft phát hành như một tùy chọn (opt-in) không bắt buộc và sẽ bị xóa sau khi nâng cấp lên Windows 11.

Mới đây, công ty truyền thông VoIP 3CX đã bị xâm phạm để triển khai các phiên bản trojan của ứng dụng máy tính để bàn Windows trong một cuộc tấn công chuỗi cung ứng quy mô lớn.

Trong cuộc tấn công này, hai tệp DLL được sử dụng bởi ứng dụng máy tính để bàn Windows đã được thay thế bằng các phiên bản độc hại dùng để tải xuống mã độc đánh cắp thông tin trên máy bị xâm phạm. Một trong đó là một DLL hợp pháp, được ký bởi Microsoft có tên d3dcompiler_47.dll, đã được sửa đổi để tích hợp thêm một payload độc hại.

Đáng chú ý, ngay cả khi tệp đã bị sửa đổi, Windows vẫn hiển thị tệp dưới dạng được ký chính xác bởi Microsoft.

Việc ký vào một tệp thực thi, như tệp DLL hoặc EXE, nhằm đảm bảo với người dùng Windows rằng tệp đó đã được xác thực và không bị sửa đổi để chứa mã độc.

Khi một tệp thực thi đã ký được sửa đổi, Windows sẽ hiển thị thông báo cho biết "chữ ký số của đối tượng không được xác minh". Tuy nhiên, trong trường hợp này, mặc dù d3dcompiler_47.dll DLL đã được sửa đổi, nhưng nó vẫn hiển thị là đã được ký trong Windows.

Will Dormann, nhà phân tích lỗ hổng tại ANALYGENCE, cho biết rằng DLL này đang khai thác lỗ hổng CVE-2013-3900, một "lỗi xác thực chữ ký WinVerifyTrust".

Microsoft đã tiết lộ lỗ hổng này vào tháng 12 năm 2013 và giải thích rằng có thể thêm nội dung vào phần chữ ký mã xác thực (cấu trúc WIN_CERTIFICATE) trong tệp thực thi đã ký mà không làm mất hiệu lực chữ ký.

Như Dormann giải thích, chương trình cài đặt Google Chrome cũng đã sử dụng tính năng này để có thể thêm dữ liệu vào cấu trúc Authenticode để xác định xem người dùng có chọn "gửi số liệu thống kê sử dụng và báo cáo sự cố cho Google hay không". Khi được cài đặt, Google Chrome sẽ kiểm tra chữ ký mã xác thực cho dữ liệu này để xác định xem có nên bật báo cáo chẩn đoán hay không.

Microsoft cuối cùng đã quyết định đưa ra bản vá tùy chọn, có thể là do nó sẽ làm mất hiệu lực các tệp thực thi hợp lệ đã ký trước đó.

"Vào ngày 10/12/2013, Microsoft đã phát hành bản cập nhật cho tất cả các bản phát hành được hỗ trợ của Microsoft Windows, thay đổi cách xác minh chữ ký đối với các tệp nhị phân được ký bằng định dạng chữ ký Windows Authenticode". "Thay đổi này có thể được bật như một tùy chọn".

"Khi được bật, việc xác minh chữ ký Windows Authenticode sẽ không còn cho phép thông tin không liên quan trong cấu trúc WIN_CERTIFICATE và Windows sẽ không còn nhận ra các tệp nhị phân không tuân thủ như đã ký".

Bây giờ là gần mười năm sau, lỗ hổng được biết là đã bị khai thác bởi nhiều tác nhân đe dọa. Tuy nhiên, bản vá cho nó vẫn là một tùy chọn chỉ có thể được kích hoạt bằng cách chỉnh sửa Windows Registry theo cách thủ công.

Để kích hoạt bản vá này, người dùng Windows trên hệ thống 64 bit có thể thực hiện các thay đổi Registry như sau:

Khi các khóa Registry này được bật, bạn có thể thấy cách Microsoft xác thực chữ ký khác nhau như thế nào đối với d3dcompiler_47.dll DLL độc hại đã đề cập.

Phần xác minh chữ ký không còn (hình bên phải) sau khi bản vá được áp dụng

Tuy nhiên, ngay cả khi đã thêm các khóa Registry để áp dụng bản sửa lỗi, chúng vẫn sẽ bị xóa sau khi bạn nâng cấp lên Windows 11, khiến thiết bị của bạn dễ bị tấn công trở lại.

Vì lỗ hổng này đã bị lạm dụng trong các cuộc tấn công gần đây, như tấn công chuỗi cung ứng 3CX và chiến dịch phát tán mã độc Zloader vào tháng 1, nên nó cần được xem xét để khắc phục, ngay cả khi điều đó gây bất tiện cho các nhà phát triển.

Tuy vậy, hầu hết người dùng không biết về lỗ hổng này và họ có thể cho rằng một tệp độc hại là đáng tin cậy.

Dormann cảnh báo rằng: “Khi việc vá lỗi không bắt buộc, số đông người dùng sẽ không được bảo vệ”. Mặc dù điều này có thể gây ra sự cố với một số chương trình cài đặt, như Google Chrome, nhưng sự bất tiện này có thể chấp nhận để bạn được bảo vệ tốt hơn.

Microsoft hiện chưa có phản hồi gì về việc lỗ hổng này tiếp tục bị lạm dụng và bản vá cho nó vẫn chỉ là một tùy chọn không bắt buộc.

Nguồn: bleepingcomputer.com.

scrolltop