黑客利用 10 年未強(qiáng)制修復(fù)的舊 Windows 漏洞分發(fā)惡意文件

IT之家 4 月 1 日消息，VoIP 通信公司 3CX 本周三晚上遭到黑客攻擊，在大規(guī)模供應(yīng)鏈攻擊中，分發(fā)了含有木馬程序的 Windows 應(yīng)用程序。

而黑客本次攻擊所利用是一個已有 10 年歷史的 Windows 漏洞，可執(zhí)行文件看起來像是經(jīng)過合法簽名的。而更糟糕的是，微軟在 Win11 系統(tǒng)中刪除了這個修復(fù)補(bǔ)丁。

微軟很早的時候就發(fā)布了修復(fù)補(bǔ)丁，只是并未強(qiáng)制性要求設(shè)備安裝，依然為“可選更新”。

黑客替換了 Windows 桌面應(yīng)用程序使用的兩個 DLL，設(shè)備一旦運(yùn)行這些惡意應(yīng)用，就會下載信息竊取木馬等其它惡意軟件。

IT之家從報道中獲悉，其中一個 DLL 文件是微軟簽名的合法 DLL：d3dcompiler_47.dll，不過黑客修改了 DLL 以在文件末尾包含加密的惡意負(fù)載。

而設(shè)備運(yùn)行這個惡意軟件，Windows 系統(tǒng)依然顯示由微軟官方簽署。

微軟于 2013 年 12 月 10 日首次披露了此漏洞，并解釋說這個漏洞可以在簽名的可執(zhí)行文件中，向 EXE 的驗(yàn)證碼簽名部分（WIN_CERTIFICATE 結(jié)構(gòu)）添加內(nèi)容，不會讓簽名無效化。