{"id":279486,"date":"2023-04-08T19:05:41","date_gmt":"2023-04-08T17:05:41","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=279486"},"modified":"2024-06-12T14:24:00","modified_gmt":"2024-06-12T12:24:00","slug":"ergnzende-informationen-zur-kompromittierten-3cx-desktop-app","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/04\/08\/ergnzende-informationen-zur-kompromittierten-3cx-desktop-app\/","title":{"rendered":"Ergänzende Informationen zur kompromittierten 3CX Desktop-App"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die 3CX Desktop App des Telefonsystem-Anbieters 3CX wurde per Lieferkettenangriff (Supply-Chain-Attack) mit Malware infiziert. Im Nachgang habe ich noch einige zus\u00e4tzliche Informationen. So ist der Vorfall inzwischen von 3CX best\u00e4tigt und sowohl Cyble als auch Kasperky haben Analysen vorgelegt. Laut Kaspersky scheint die nordkoreanische Hackergruppe Lazarus mit dem Angriff in Verbindung zu stehen. M\u00f6glich wurde der Angriff auch, weil eine 10 Jahre bekannte Schwachstelle in Windows durch Microsoft nur als \"opt-in\" zu schlie\u00dfen deklariert wurde – kaum jemand kennt diese M\u00f6glichkeit. Und l\u00e4ngst nicht alle Virenscanner erkennen die Bedrohung.<\/p>\n

<\/p>\n

Worum geht es?<\/h2>\n

\"\"Zum 30. M\u00e4rz 2023 hatte ich im Blog-Beitrag 3CX Desktop-App in Supply-Chain-Attack infiziert (29. M\u00e4rz 2023)<\/a> eine Warnung f\u00fcr die Blog-Leser, die die Telefonsystem-Software des Anbieters 3CX verwenden, herausgegeben. Zu\u00a0 diesem Zeitpunkt bestand der Verdacht, dass deren 3CX Desktop App\u00a0 kompromittiert sein k\u00f6nnte.<\/p>\n

Inzwischen gibt es, neben der in obigem Blog-Beitrag erw\u00e4hnten Sentinel-Analyse noch eine weitere Analyse von Cyble mit dem Titel A Comprehensive Analysis of the 3CX Attack<\/a>.<\/p>\n

3CX<\/a> ist ein internationaler Entwickler von VoIP-IPBX-Software. Das 3CX-Telefonsystem, eine auf offenen Standards basierende, softwarebasierte Telefonanlage, war urspr\u00fcnglich nur unter Windows einsetzbar, kann aber seit 2016 auch unter Linux und auf Cloud-Plattformen eingesetzt werden. 3CX Desktop App ist eine Anwendung, mit dem am Desktop direkt mittels eines Headsets telefoniert werden kann. Die 3CXDesktopApp ist f\u00fcr Windows, macOS, Linux und Mobilger\u00e4te verf\u00fcgbar.<\/p><\/blockquote>\n

Die Infektion ist best\u00e4tigt<\/h2>\n

Henry Barson hatte in diesem Kommentar<\/a> darauf hingewiesen, dass der 3CX CEO, Nick Galea, diesen Vorfall zum 30. M\u00e4rz 2023 in der 3cx-Community in diesem Post<\/a> best\u00e4tigt hat:<\/p>\n

It is true. For the record we contacted SentinelOne for more information but never received it. We are issueing a new build as we speak we apologize for the inconvenience.<\/p><\/blockquote>\n

Zudem weist Blog-Leser Righter in diesem Kommentar<\/a> auf die offizielle Best\u00e4tigung 3CX DesktopApp Security Alert<\/a> vom 30. M\u00e4rz 2023 im 3CX-Blog hin. Dort hei\u00dft es, dass die mit<\/p>\n

Update 7 ausgelieferte Electron Windows App mit den Versionsnummern 18.12.407 und 18.12.416 eine Sicherheitsl\u00fccke enth\u00e4lt. Die Electron Mac App-Versionsnummern 18.11.1213, die mit Update 6 ausgeliefert wurde, und 18.12.402, 18.12.407 & 18.12.416 in Update 7 sind ebenfalls betroffen.<\/p><\/blockquote>\n

Der Blog-Beitrag enth\u00e4lt noch die Information, dass die Ziel-Domain der Schadfunktionen deaktiviert wurde (wenig hilfreich, wenn die App und damit das System kompromittiert ist), und dass Antivirus-L\u00f6sung die 3CXDesktopApp.exe <\/em>erkannt und in Quarant\u00e4ne geschoben h\u00e4tten (auch dies trifft nicht immer zu, siehe weiter unten zu Trend Micro).<\/p>\n

Florian R. hatte mich am 3. April 2023 noch per Mail auf einen Post eines 3CX-Mitarbeiters aufmerksam gemacht (ist leider etwas liegen geblieben, da ich die Woche privat eingespannt war). Im 3CX-Blog hat Marcus Kogel, Marketing Manager DACH, 3CX, zum 1. April 2023 ein Update zum Sicherheitsvorfall: Samstag, 1. April 2023<\/a> ver\u00f6ffentlicht. Interessant sind ggf. die Empfehlungen f\u00fcr Nutzer\/Administratoren.<\/p>\n

In diesem Kommentar<\/a> weist Stefan Kanthak auf eine Kommunikation mit 3CX aus dem Jahr 2013 hin, und verlinkt auf den securelist.org-Beitrag VULNERABLE and COMPLETELY outdated 3rd-party libraries\/components used in 3CX Phone System 11<\/a>. Die hatten schon damals ihre Lieferkette nicht wirklich im Griff.<\/p><\/blockquote>\n

3CX-Angriff \u00fcber 10 Jahre alten Windows-Bug<\/h2>\n

Beim Supply-Chain-Angriffs wurden zwei DLLs, die von Windows Desktop-Anwendungen verwendet werden, durch b\u00f6sartige, mit Malware erg\u00e4nzte Versionen ersetzt.Eine der ersetzten DLLs ist die d3dcompiler_47.dll aus dem DirectX-Paket. In der kompromittierten Variante enth\u00e4lt die DLL eine verschl\u00fcsselte b\u00f6sartige Nutzlast. Eine dieser Nutzlasten fungiert dabei als Trojaner, der Informationen von den Benutzersystemen stiehlt.<\/p>\n

An dieser Stelle wird der aufmerksame Beobachter aufmerken und die Frage stellen, wieso eine legitime DLL aus Windows so einfach ersetzt werden kann? Diese werden doch durch Microsoft \u00fcblicherweise digital signiert. Ver\u00e4ndert Angreifer eine solche Datei, bricht die digitale Signatur und das Laden sollte durch Windows verweigert werden.<\/p>\n

Der Lieferkettenangriff durch Austausch der signierten DLLs war m\u00f6glich, weil es seit zehn Jahren einen Windows-Bug gibt, den die Angreifer ausnutzen konnten. Daher betrachtet Windows diese manipulierte DLL-Datei weiterhin als g\u00fcltig signiert. Die Kollegen von Bleeping Computer weisen in diesem Beitrag<\/a> darauf hin, dass der Bug eigentlich l\u00e4ngst geschlossen sein k\u00f6nnte.<\/p>\n

Will Dormann wies darauf hin, dass die ausgenutzte Schwachstelle CVE-2013-3900<\/a> \"WinVerifyTrust Signature Validation Vulnerability\" erstmals am 10. Dezember 2013 durch Microsoft \u00f6ffentlich gemacht wurde. Microsoft erkl\u00e4rte damals, dass das Hinzuf\u00fcgen von Inhalten zum Authenticode-Signaturabschnitt einer EXE (WIN_CERTIFICATE-Struktur) in einer signierten ausf\u00fchrbaren Datei m\u00f6glich ist, ohne dass die digitale Signatur ung\u00fcltig wird.<\/p>\n

Microsoft hatte damals entschieden, eine bereitgestellte Korrektur optional zu machen. Bleeping Computer vermutet, weil legitime, signierte ausf\u00fchrbare Dateien sonst ung\u00fcltig w\u00fcrden, weil diese Daten im Signaturblock einer ausf\u00fchrbaren Datei speichern. Das hei\u00dft, die \u00c4nderung kann auf Basis eines Opt-in aktiviert werden. Dazu ist ein manueller Eingriff in die Registrierung erforderlich, bei dem Eintr\u00e4ge zu setzen sind. Microsoft hat im Artikel zu CVE-2013-3900<\/a> die erforderlichen Befehle als .reg-Datei ver\u00f6ffentlicht.<\/p>\n

Windows Registry Editor Version 5.00\u00a0 \r\n[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Cryptography\\Wintrust\\Config]\r\n\"EnableCertPaddingCheck\"=\"1\"\r\n[HKEY_LOCAL_MACHINE\\Software\\Wow6432Node\\Microsoft\\Cryptography\\Wintrust\\Config]\r\n\"EnableCertPaddingCheck\"=\"1\"<\/pre>\n
Im betreffenden Support-Beitrag, der am 21. Januar 2022 letztmalig aktualisiert wurde, hei\u00dft es, dass dieser Registry-Fix zwar manuell zu setzen sei, dann aber f\u00fcr Windows 10 und Windows 11 gelte. Der \"dicke Hund der Woche\" kommt aber noch. Auf Twitter<\/a> weist jemand am 5. Januar 2023 darauf hin, dass Windows 11 den ggf. manuell gesetzten Schutz f\u00fcr CVE-2013-3900 entfernt.<\/p>\n
\"Windows<\/a><\/p>\n
Wer diesen Schutz ben\u00f6tigt, muss die Registrierungseintr\u00e4ge erneut manuell setzen. Bleeping Computer hat in diesem Beitrag<\/a> noch einige Details zum Thema zusammen getragen. Also mal wieder \"Microsoft hei\u00dft perfektes Chaos\" – mehr ist dazu nicht mehr zu sagen.<\/p>\n
Backdoor durch 3CX-Software<\/h2>\n
Sicherheitsforscher von Kaspersky haben sich die kompromittierte 3CX Desktop App genauer angesehen und die Analyse samt neuen Erkenntnissen im Beitrag Not just an infostealer: Gopuram backdoor deployed through 3CX supply chain attack<\/a> ver\u00f6ffentlicht. Eingangs war zwar von einem Trojaner die Rede, aber die Sicherheitsforscher von Kaspersky mussten feststellen, dass die infizierte Anwendung auch einen Hintert\u00fcr (Gopuram) auf den Systemen installieren kann.<\/p>\n
Die Kollegen von Bleeping Computer berichten hier<\/a> (ein deutschsprachiger Beitrag findet sich bei heise<\/a>), dass die von der nordkoreanischen Hackergruppe Lazarus seit mindestens 2020 f\u00fcr Angriffe auf Kryptow\u00e4hrungsunternehmen verwendete Gopuram-Backdoor beim 3CX-Vorfall auch als zweite Stufe der Nutzlast in die Systeme einer begrenzten Anzahl betroffener 3CX-Kunden eingeschleust wurde.<\/p>\n
Laut Bleeping Computer ist Gopuram eine modulare Backdoor, die von ihren Betreibern dazu verwendet werden kann, die Windows-Registrierung und -Dienste zu manipulieren und Datei-Timestomping durchzuf\u00fchren, um sich der Erkennung zu entziehen. Die Backdoor kann verwendet werden, um\u00a0 Nutzdaten in bereits laufende Prozesse zu injizieren, unsignierte Windows-Treiber mithilfe des Open-Source-Kernel-Treiber-Dienstprogramms zu laden sowie eine teilweise Benutzerverwaltung \u00fcber den Befehl net auf infizierten Ger\u00e4ten durchzuf\u00fchren.<\/p>\n
Laut Kaspersky wurden weniger als zehn Systeme infiziert, was darauf hindeutet, dass die Hinterm\u00e4nner f\u00fcr den Lieferkettenangriff darauf aus waren, bestimmte Firmen gezielt zu kompromittieren, um finanzielle Vorteile zu erlangen (z.B. Crypto-Geld zu stehlen).<\/p>\n
Trend Micro patzt bei 3CX<\/h2>\n
Blog-Leser Sascha M. hat mich am 5. April 2023 per Mail kontaktiert, weil er mich auf das Thema Erkennung des 3CX-Sch\u00e4dlings durch TrendMicro Worry Free Business Security<\/em> hinweisen wollte. Er schrieb dazu:<\/p>\n
Hallo G\u00fcnter,<\/p>\n
vorweg das Wichtigste: herzlichen Dank f\u00fcr Deinen Block! Absolute Spitzenklasse und wir lesen immer wieder gerne bei Dir.<\/p>\n
Evtl. habe ich ein Thema was f\u00fcr Dich und Deinen Block interessant sein k\u00f6nnte:<\/p>\n
Bei vielen unserer Kunden haben wir 3cx und TrendMicro Worry Free Business Security (WFBS on Prem) oder Worry Free Business Security Services als Teil des XDR (WFBSS) im Einsatz.<\/p>\n
Nach dem gro\u00dfen Thema um 3cx ist es nat\u00fcrlich wichtig, dass die eigene und nat\u00fcrlich die AV-Software des Kunden auf solchen Risiken reagiert.<\/p>\n
Nach Blog ist TrendMicro<\/a> das Thema bereits seit dem 30.03.2023 bekannt. Doch bis heute reagiert weder das XDR noch die onPrem-L\u00f6sungen auf die kompromittierten Dateien.<\/p>\n
In Anbetracht der Tatsache, dass jeder der 3cx im Einsatz hat oder hatte, angehalten ist s\u00e4mtliche Systeme zu scannen, d\u00fcrften TrendMicro Kunden sich hier in falscher Sicherheit wiegen.<\/p>\n
TrendMicro habe ich bereits am 31.03.2023 auf den Umstand hingewiesen, gestern hat sich dann der Support dem Thema angenommen. Bisher jedoch nur Nachfragen zu Lizenznummern, den Dateien und LOG Eintr\u00e4gen (welche leer sind).<\/p>\n
Ich habe Dir ein Video angeh\u00e4ngt, welches auch an TM geschickt wurde. Im Video haben wir noch die Pattern 18.359.00, aktuell ist die 18.361.00 aber auch hier: Erkennungsrate 0.<\/p>\n
Keine Ahnung was TrendMicro da macht, f\u00fcr mich pers\u00f6nlich ein absolutes NoGo.<\/p>\n
Immerhin reagiert die TrendMicro E-Mail Security auf die Dateien (hilft zwar nichts, irgendwer scheint aber doch seinen Job gemacht zu haben).<\/p>\n
Erg\u00e4nzung: W\u00e4hrend des Schreibens der Mail kam eine Mail von TrendMicro, demnach k\u00f6nne es nicht an TrendMicro liegen und die Patterns sollten reagieren.<\/p>\n
Hier noch ein Screenshot von einem Kunden zu dem ich eben gerade Kontakt hatte.<\/p>\n
3cx l\u00e4uft in der kompromittierten Version auf dem System und brav daneben ein TrendMicro der nichts unternimmt.<\/p><\/blockquote>\n
\"Trend<\/a>
\nTrend Micro und 3CX-Erkennung, zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n
Obiger Screenshot zeigt die Analyse durch TM, in nachfolgendem Screenshot sind die kompromittierten DLLs zu sehen. Der Virenschutz patzt also und wiegt die Kunden in Sicherheit.<\/p>\n
\"Infected<\/p>\n
Keine Ahnung, ob sich da nun was getan hat. Falls jemand Trend Micro und 3CX im Einsatz hat, sollte er doch mal genauer nachschauen, ob wirklich keine Infektion vorliegt. Danke an Sascha f\u00fcr den Hinweis. Das Video selbst habe ich mal nicht hochgeladen.<\/p>\n
\u00c4hnliche Artikel
\n<\/strong>3CX Desktop-App in Supply-Chain-Attack infiziert (29. M\u00e4rz 2023)<\/a>
\n31.000 3CX-Telefonanlagen in Deutschland per Internet erreichbar<\/a>
\nSchwachstelle in Windows 3CX-Telefonanlagen, Patchen ist angesagt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Die 3CX Desktop App des Telefonsystem-Anbieters 3CX wurde per Lieferkettenangriff (Supply-Chain-Attack) mit Malware infiziert. Im Nachgang habe ich noch einige zus\u00e4tzliche Informationen. So ist der Vorfall inzwischen von 3CX best\u00e4tigt und sowohl Cyble als auch Kasperky haben Analysen vorgelegt. Laut … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-279486","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/279486","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=279486"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/279486\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=279486"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=279486"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=279486"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}