Diversi ricercatori di sicurezza hanno segnalato un attacco supply chain contro l’applicazione VoIP di 3CX per Windows. Ignoti cybercriminali hanno sostituito l’installer MSI legittimo con una versione infetta, conservando la firma digitale di Microsoft. Ciò è stato possibile a causa di una vulnerabilità presente in Windows dal 2013. Il fix è “opt-in” e viene rimosso con l’upgrade a Windows 11.
Colpa di un bug del 2013
Il software VoIP di 3CX è utilizzato da oltre 600.000 aziende nel mondo (12 milioni di utenti al giorno), quindi il problema di sicurezza è piuttosto serio. L’attacco supply chain, denominato SmoothOperator da SentinelOne, inizia con il download dell’installer MSI dal sito ufficiale o con la distribuzione di un aggiornamento per l’applicazione già installata.
Sul computer vengono copiati tre file: 3CXDesktopApp.exe
(legittimo), ffmpeg.dll
(infetto) e d3dcompiler_47.dll
(infetto). Sfruttando la tecnica “DLL sideloading”, l’eseguibile carica in memoria ffmpeg.dll
che a sua volta estrae il payload da d3dcompiler_47.dll
. Quest’ultimo scarica da GitHub un file .ico
che nasconde nel codice l’URL del dominio dal quale viene scaricato il payload finale, ovvero un info-stealer che raccoglie diversi dati dai principali browser.
Nonostante sia stato modificato, il file d3dcompiler_47.dll
è firmato con un certificato di Microsoft, quindi non viene rilevato come pericoloso. Il ricercatore di sicurezza Will Dormann ha scoperto che è stata sfruttata la vulnerabilità CVE-2013-3900 che consente di aggiungere contenuto all’eseguibile, senza invalidare la firma.
Il fix rilasciato da Microsoft è “opt-in”, ovvero è necessario modificare due chiavi nel registro di sistema. Purtroppo il fix viene rimosso con l’upgrade a Windows 11. Non è chiaro se verrà distribuita una patch definitiva. Intanto è meglio utilizzare il client PWA, finché non sarà disponibile una nuova versione per Windows, come suggerisce 3CX.