Sulmi i supply chain 3CX me bug e Windows 2013

Disa studiues të sigurisë kanë raportuar një sulm të zinxhirit të furnizimit kundër aplikacionit VoIP të 3CX për Windows. Kriminelët e panjohur kibernetikë zëvendësuan instaluesin legjitim MSI me një version të infektuar, duke ruajtur nënshkrimin dixhital të Microsoft. Kjo u bë e mundur për shkak të një cenueshmërie të pranishme në Windows që nga viti 2013. Rregullimi është “opt-in” dhe hiqet me përmirësimin në Windows 11.

Fajësoni një bug nga 2013
Softueri 3CX VoIP përdoret nga mbi 600,000 biznese në mbarë botën (12 milionë përdorues të përditshëm), kështu që çështja e sigurisë është mjaft serioze. Sulmi i zinxhirit të furnizimit, i quajtur SmoothOperator nga SentinelOne, fillon me shkarkimin e instaluesit MSI nga faqja zyrtare ose shpërndarjen e një përditësimi për aplikacionin e instaluar tashmë.

Tre skedarë kopjohen në kompjuterin tuaj: 3CXDesktopApp.exe (i ligjshëm), ffmpeg.dll (i infektuar) dhe d3dcompiler_47.dll (i infektuar). Duke përfituar nga teknika “DLL sideloading”, skedari i ekzekutueshëm ngarkon ffmpeg.dll në memorie e cila nga ana tjetër e nxjerr ngarkesën nga d3dcompiler_47.dll. Ky i fundit shkarkon një skedar .ico nga GitHub që fsheh në kod URL-në e domenit nga i cili shkarkohet ngarkesa përfundimtare, pra një vjedhës informacioni që mbledh të dhëna të ndryshme nga shfletuesit kryesorë.

Megjithëse është modifikuar, skedari d3dcompiler_47.dll është nënshkruar me një certifikatë nga Microsoft, kështu që nuk zbulohet si i rrezikshëm. Studiuesi i sigurisë Will Dormann zbuloi se cenueshmëria CVE-2013-3900 që lejon shtimin e përmbajtjes në ekzekutuesin, pa zhvlerësuar nënshkrimin, është shfrytëzuar.

Rregullimi i lëshuar nga Microsoft është “opt-in”, dmth duhet të ndryshoni dy çelësa në regjistër. Fatkeqësisht, rregullimi është hequr me përmirësimin në Windows 11. Nuk është e qartë nëse do të shpërndahet një patch përfundimtar. Ndërkohë, është më mirë të përdorni klientin PWA, derisa të jetë i disponueshëm një version i ri i Windows, siç sugjeron 3CX.


This is a companion discussion topic for the original entry at https://zero1.al/2023/04/01/sulmi-i-supply-chain-3cx-me-bug-e-windows-2013/