en defekt som ble fikset for år siden, utnyttes fortsatt av hackere

Mens Microsoft fikset en sikkerhetsfeil i 2013, dukker den opp igjen. Spørsmål: Windows DLL (Dynamic Link Library) signatursystem. Og på toppen av det hele, hackere utnytter dette smutthullet ved å assosiere det med en av de verste bankskadevare, Zloader.

Bildekreditt: Phonandroid.

I en sikkerhetsbulletin fra 2013 sa Microsoft at den hadde rettet opp en sikkerhetsfeil relatert til DLL-ene dine, et sikkerhetsbrudd som gjorde at en hacker kunne ta full kontroll over maskinen. Vi trodde vi definitivt hadde denne trusselen i Windows, men nå dukker den opp igjen nesten et tiår senere.

Det var sikkerhetsforskerne ved Checkpoint som var ansvarlige for denne oppdagelsen – feilen blir fortsatt utnyttet fordi feilrettingen deres ikke er aktivert som standard. Og etter hvert som hackernes teknikker har utviklet seg, griper de nå muligheten til å koble det sammen med bankprogramvare. Zloader. Derfor kunne Checkpoint i november i fjor liste opp nesten 2200 ofre i 111 land, som alle har en ting til felles: Zloader ble installert på grunn av DLL-feilen.

Windows DLL-krasj er imidlertid fikset

DLL-er er for Windows hva gresskar er for Halloween: de er avgjørende for at systemet og dets applikasjoner skal fungere ordentlig. De er til stede i alle versjoner av operativsystemet, fra det ble opprettet i 1985, til det siste Windows 11 utgitt i fjor. Men for å unngå forsøk på å kapre DLL-filer fra Windows-PC, Microsoft signerer hver av dem digitalt. I teorien er de derfor ukrenkelige.

Derimot, en rekke defekter relatert til DLL-filsignaturer Han kom til å stille spørsmål ved alt for noen år siden: kjent under navnene CVE-2020-1599, CVE-2013-3900 og CVE-2012-0151, Microsoft hadde likevel klart å korrigere dem. På den annen side, hvis Windows-redigeringsprogrammet raskt hadde funnet en måte å fylle det ut i 2013, føltes det bedre å se etter en annen løsning … Selv om det betyr å deaktivere standardoppdateringen i 2014, fordi «dens innvirkning på applikasjoner kan være høy»!

READ  Et regn av dokumentarer om verdensrommet i kunst

Les også: Valak – Denne ødeleggende skadevare stjeler dataene dine på den enkleste måten

Derfor har hackerne gått tilbake til DLL-feilen og satt på lokket igjen. De gjør dette ved å injisere et ondsinnet skript i DLL-filen, uten å påvirke signaturen tildelt av Microsoft. Og det benytter de anledningen til distribuere ZLoader bank malware på ofrenes datamaskiner, skadelig programvare som allerede hadde dukket opp igjen i august i fjor.

Når den er installert, endrer skadelig programvare Windows Defender-preferanser og retter registret. Neste, angriperen har full tilgang til systemet og du kan laste ned eller hente filer, kjøre skript osv. Det er nok å si at du kan gjøre absolutt hva du vil med dataene på den kompromitterte PC-en.

Metoden som ble brukt til å spre skadelig programvare kan spre seg som en ild i tørt gress

«Når du ser en signert DLL, er du ganske sikker på at du kan stole på den, men det viser at dette ikke alltid er tilfelle,» sier Kobi Eisenkraft, en malware-forsker ved Checkpoint. «Jeg tror vi kommer til å se mer og mer av denne angrepsmetoden.. «I følge Checkpoint har spredningskampanjen for skadelig programvare mange likheter med MalSmoke, som fant sted i 2020.

– Vi har en løsning, men ingen bruker den, sier Kobi Eisenkraft. «Derfor kan en stor mengde skadelig programvare angripe bedrifter og personlige datamaskiner med denne metoden.» Derfor anbefaler Checkpoint å ta i bruk oppdateringen fra Microsoft. tillater streng kontroll av DLL og Authenticode.

Slik gjør du det hvis du vil installere den aktuelle løsningen:

  • Åpne Windows Notisblokk og kopier og lim inn følgende linjer:
    Windows Registerredigering versjon 5.00
    [HKEY_LOCAL_MACHINELogicielMicrosoftCryptographieWintrustConfig]
    «EnableCertPaddingCheck» = «1»
    [HKEY_LOCAL_MACHINESoftwareWow6432NodeMicrosoftCryptographyWintrustConfig]
    «EnableCertPaddingCheck» = «1»
  • Lagre filen: gi den navnet hva du vil, men gi den filtypen .reg (i stedet for .txt)
  • Kjør den. Filen vil da lappe Windows-registret og voila.
  • Merk at enkelte signaturer, legitime som de er, kan virke ugyldige. Det ser imidlertid ikke ut til å gjelde viktige søknader.
READ  Polestar 3 begynner å ta form

Fontene: Kabling

Legg att eit svar

Epostadressa di blir ikkje synleg. Påkravde felt er merka *