CVE-2026-8398 DAEMON Tools Lite 供应链攻击漏洞

漏洞信息

漏洞编号

CVE-2026-8398

漏洞类型

供应链攻击

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

DAEMON Tools Lite

漏洞概述

CVE-2026-8398 是一个针对 DAEMON Tools Lite 的严重供应链攻击漏洞。攻击者入侵了 AVB Disc Soft 的构建或分发基础设施，并在 2026 年 4 月 8 日至 5 月 5 日期间篡改了官方网站分发的官方安装包。受影响的版本为 12.5.0.2421 至 12.5.0.2434。攻击者在三个关键二进制文件中植入了恶意代码，并利用合法的代码签名证书对这些文件进行了签名，从而使恶意安装程序绕过基于签名的安全检测。

技术细节

该漏洞源于软件供应链的完整性受损。攻击者成功获取了供应商 AVB Disc Soft 的构建系统或分发服务器的访问权限。在受影响的时间窗口内，合法的安装包被植入了后门。具体而言，DTHelper.exe、DiscSoftBusServiceLite.exe 和 DTShellHlp.exe 这三个核心组件被修改。由于攻击者使用了合法的代码签名证书对篡改后的二进制文件进行了签名，操作系统和安全软件在验证签名时会误认为这些文件是可信的。这种攻击方式利用了用户对官方渠道和数字签名的信任。一旦用户下载并运行了受感染的安装程序，恶意代码将以系统权限运行，导致攻击者获得远程控制能力，完全影响系统的机密性、完整性和可用性。

攻击链分析

STEP 1

初始访问

攻击者入侵 AVB Disc Soft 的构建或分发基础设施。

STEP 2

武器化

攻击者篡改安装包中的 DTHelper.exe、DiscSoftBusServiceLite.exe 和 DTShellHlp.exe 文件，植入恶意代码。

STEP 3

交付

被篡改的安装包通过官方网站 daemon-tools.cc 分发给用户。

STEP 4

利用

用户下载并运行带有合法数字签名的恶意安装程序。

STEP 5

安装与执行

恶意文件在用户系统中执行，由于拥有有效签名，绕过了系统安全检测。

STEP 6

达成目标

攻击者获得系统控制权，执行任意代码，窃取数据或破坏系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Detection script for CVE-2026-8398
# This script checks the file hashes of the compromised binaries against known bad hashes (Placeholders).
import hashlib
import os

# Simulated known bad hashes (replace with actual hashes from advisory)
KNOWN_BAD_HASHES = {
    "DTHelper.exe": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
    "DiscSoftBusServiceLite.exe": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
    "DTShellHlp.exe": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855"
}

def calculate_file_hash(filepath):
    sha256_hash = hashlib.sha256()
    with open(filepath, "rb") as f:
        for byte_block in iter(lambda: f.read(4096), b""):
            sha256_hash.update(byte_block)
    return sha256_hash.hexdigest()

def check_installation(directory):
    print(f"Scanning directory: {directory}")
    for filename, bad_hash in KNOWN_BAD_HASHES.items():
        filepath = os.path.join(directory, filename)
        if os.path.exists(filepath):
            file_hash = calculate_file_hash(filepath)
            if file_hash == bad_hash:
                print(f"[ALERT] {filename} is compromised! Hash matches known bad version.")
            else:
                print(f"[OK] {filename} hash does not match known bad version.")
        else:
            print(f"[INFO] {filename} not found in directory.")

if __name__ == "__main__":
    # Example path, replace with actual installation path
    check_installation("C:\\Program Files\\DAEMON Tools Lite")

影响范围

DAEMON Tools Lite 12.5.0.2421

DAEMON Tools Lite 12.5.0.2434

防御指南

临时缓解措施

建议用户立即检查系统中安装的 DAEMON Tools Lite 版本。如果版本在 12.5.0.2421 至 12.5.0.2434 之间，应立即卸载。由于该漏洞涉及供应链攻击且使用了合法签名，传统的签名验证可能失效，因此必须通过文件哈希校验或使用最新的反病毒病毒库来识别被植入后门的文件。同时，建议对该时间段内安装过该软件的系统进行全面的安全审计，防止潜伏的后门被进一步利用。