DAEMON Tools Lite : l'installeur signé qui exécute du code attaquant
- DAEMON Tools Lite 11.2.0 et anterieures
Cette vulnérabilité est inscrite au catalogue des vulnérabilités activement exploitées de la CISA. Traitement prioritaire recommandé.
Le contexte
Troisième vecteur de la campagne Mini Shai-Hulud (KEV 27 mai), aux côtés de TanStack npm et Nx Console. Ici, l'attaque passe par un installeur signé plutôt que par un registre de paquets.
Entre avril et mai 2026, des attaquants ont compromis les systèmes de build ou de distribution de l'éditeur (AVB Disc Soft) et trojanisé trois binaires signés distribués depuis le site officiel.
La mécanique
Comme les fichiers portaient des certificats de signature de code légitimes, les installeurs paraissaient dignes de confiance et passaient au travers de nombreux contrôles (CWE-506, code malveillant embarqué). Le résultat est une exécution de code arbitraire sur la machine qui lance l'installeur.
Remédiation
- Recenser les installations sur le parc.
- Désinstaller les versions affectées (11.2.0 et antérieures).
- Privilégier une allow-list applicative plutôt que la seule confiance dans la signature.
Ce qu'il faut retenir
La validité d'une signature ne garantit pas l'intégrité quand c'est la chaîne de build elle-même qui est compromise. Le contrôle "binaire signé = binaire de confiance" ne tient plus face à ce modèle de menace ; l'allow-list et la surveillance comportementale prennent le relais.
- Kreomnis
Références
- nvd NVD - CVE-2026-8398
- cisa CISA KEV