Uma vulnerabilidade no Windows existente há dez anos ainda está sendo explorada em ataques que fazem parecer que os executáveis são assinados legitimamente. Apesar do risco aos usuários do sistema operacional, a correção da Microsoft ainda está como “opcional” depois de todos esses anos. Pior ainda, a correção é removida após a atualização para o Windows 11.
Na semana passada, surgiram notícias de que a empresa americana de telefonia VoIP 3CX foi comprometida por versões “trojanizadas” instaladas no aplicativo de desktop do Windows em um ataque em larga escala à cadeia de suprimentos. Como parte desse ataque, duas DLLs (dynamic-link librarys, ou bibliotecas de vínculo dinâmico, em tradução livre) usadas pelo aplicativo da área de trabalho do Windows foram substituídas por versões maliciosas que baixam malware adicional para os computadores, como um trojan para roubo de informações.
Uma das DLLs maliciosas usadas no ataque geralmente é uma DLL legítima assinada pela Microsoft chamada d3dcompiler_47.dll. No entanto, os operadores da ameaça modificaram a DLL para incluir uma carga maliciosa criptografada no final do arquivo. Embora o arquivo tenha sido modificado, o Windows ainda o mostrou como corretamente assinado pela Microsoft.
A assinatura de código de um executável, como um arquivo DLL ou EXE, destina-se a garantir aos usuários do Windows que o arquivo é autêntico e não foi modificado para incluir código malicioso. Quando um executável assinado é modificado, o Windows exibe uma mensagem informando que a “assinatura digital do objeto não foi verificada”. No entanto, embora saibamos que a DLL d3dcompiler_47.dll foi modificada, ela ainda aparece como assinada no Windows.
A Microsoft divulgou essa vulnerabilidade pela primeira vez em dezembro de 2013 e explicou que é possível adicionar conteúdo à seção de assinatura de código autêntico de um EXE — estrutura WIN_CERTIFICATE — em um executável assinado sem invalidar a assinatura.
A fabricante de software decidiu tornar a correção opcional, provavelmente porque invalidaria executáveis legítimos e assinados que armazenavam dados no bloco de assinatura de um executável. Agora, quase dez anos depois, a vulnerabilidade conhecida voltou ser explorada por vários operadores de ameaças. Mesmo assim, a correção continua sendo opcional e só pode ser ativada editando manualmente o Registro do Windows.
Via Cisoadvisor
