セキュリティを高める手段の一つに電子署名があるが、完全に安全というわけではない。そのファイルの電子署名は問題がないように見えるかもしれないが、実際にはコードが付加された細工されたファイルになっている危険性もある。
Check Point Researchの研究者がこのほど、「Can You Trust a File’s Digital Signature? New Zloader Campaign exploits Microsoft’s Signature Verification putting users at risk - Check Point Research」において、2021年11月上旬ごろからMicrosoftの古いデジタル署名検証方法のバグを悪用して感染を広める新しいZloaderキャンペーンを確認したと伝えた。
Zloaderを悪用したサイバー攻撃キャンペーンは2016年に活動が観測されてからこれまでも複数回実施が確認されている。今回観測された活動は、感染の初期段階で正規のリモート管理ソフトウェアを用い、さらにファイルの電子署名にコードを付加してmshta.exeを実行するという仕組みが使われているという。これはセキュリティソフトウェアによる検出を回避するための行動であり、研究者はZloaderの開発者が回避手法の開発に多大な努力を費やしていると指摘されている。
このキャンペーンで悪用されている脆弱性は古いものだ。2013年に発見されたもので、追加で修正も行われている。今回のサイバー活動は古い脆弱性が依然として悪用されていることを示している。このキャンペーンは2022年1月現在も多くの国や地域でデータ窃取を続けているとみられている。
ファイルの電子署名にコードを付加する手法は何年も前から存在が知られており、複数のCVEが割り当てられている。Check Point Researchの研究者はこの脆弱性が悪用されることのないように、ベンダーはオプトインアップデートでこの問題に対処するのではなく、新しいAuthenticodeの仕様をデフォルトで採用するべきと指摘している。