28 Maggio 2026 11:01    Alert

DAEMON Tools Lite CVE-2026-8398: supply chain, gli installer ufficiali distribuiti con malware firmato dal vendor

La CVE-2026-8398 non è una falla di codice ma una compromissione della supply chain: gli attaccanti hanno violato l'infrastruttura di distribuzione di AVB Disc Soft e inserito malware nei pacchetti ufficiali di DAEMON Tools Lite, la versione freeware della nota piattaforma per le immagini disco virtuali. Il codice malevolo è stato annidato in tre componenti legittimi — DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe — firmati digitalmente con il certificato valido del vendor, così da eludere i controlli basati sulla firma e ottenere l'esecuzione di codice arbitrario sui sistemi che installavano il software. L'ACN classifica la vulnerabilità con CVSS v3.1 pari a 9.8, mentre il catalogo CISA e l'NVD riportano 9.3.

La distribuzione dei pacchetti compromessi, scaricabili dal sito ufficiale daemon-tools.cc, si colloca tra inizio aprile e i primi di maggio 2026. La CISA ha inserito la CVE nel catalogo KEV il 27 maggio 2026 — insieme alle compromissioni di TanStack e Nx Console, in un'ondata di attacchi alla catena di fornitura del software — confermando lo sfruttamento attivo in rete; il CSIRT Italia ha pubblicato l'alert il giorno successivo. Secondo le ricostruzioni di settore l'incidente ha toccato migliaia di sistemi in oltre cento Paesi, con vittime in particolare nei settori retail, manifatturiero, governativo e della ricerca. È l'ennesimo caso di utility legittima trasformata in vettore di malware tramite la firma del produttore, dopo la compromissione di CPUID.com (CPU-Z, HWMonitor) già documentata dal CSIRT.

DAEMON Tools Lite è un software gratuito molto diffuso sugli endpoint Windows, anche in ambito PA e PMI: chiunque lo abbia scaricato o aggiornato nella finestra aprile–maggio 2026 va considerato potenzialmente esposto, a prescindere dalla presenza di un antivirus, vista la firma valida dei file. Le versioni dalla 12.6 in poi non contengono più il codice malevolo.

  • Versioni affette: DAEMON Tools Lite dalla 12.5.0.2421 alla 12.5.0.2434.
  • Azione raccomandata: aggiornare alla versione 12.6 o successiva; sugli endpoint che hanno installato o aggiornato il software tra aprile e maggio 2026 verificare gli IoC dell'alert e gli hash dei tre eseguibili coinvolti, ed eseguire una bonifica in caso di riscontro.
     

Fonti: ACN, Security Affairs, GitHub