Infizierte Software-Updates
Software-Supply-Chain-Angriffe sind weiter im Vormarsch
Neue Ära von IT-Security Bedrohungen
Die meisten von uns vertrauen den Softwareherstellern wenn es darum geht die eingesetzten Apps, Programme oder Produkte mit neuen Funktionalitäten oder Sicherheitsfixes zu aktualisieren. Genau dieses inhärente Vertrauen nutzen nun zunehmend Angreifer aus.
Angreifer wählen immer den Weg des geringsten Widerstandes. Falls dieser Weg blockiert wird, passen sie sich sehr schnell an und finden andere Möglichkeiten um ihre Ziele zu erreichen, auch wenn dies zunächst mit mehr Aufwand verbunden ist. Es scheint, dass wir jetzt das Zeitalter der Software-Supply-Chain-Angriffe betreten, eine gefährliche Bedrohung, die nicht so einfach zu bekämpfen ist.
Software Supply-Chain-Angriffe sind eine gefährliche Bedrohung, die das inhärente Vertrauen zwischen den Nutzern und ihren Softwareanbietern ausnutzen
Supply-Chain-Angriffe können passieren, wenn potentielle Hacker Zugang zu einer Infrastruktur-Entwicklungsumgebung eines Software-Unternehmens erhalten, die Serverumgebungen aufbauen, Software entwickeln oder Software aktualisieren; um dort ihre Malware in neue Software-Releases oder Sicherheitsupdates einzuschleusen. Dies führt dazu, dass die Benutzer die Malware über die offiziellen Software-Vertriebskanäle des Unternehmens herunterladen und dadurch Opfer der Schadsoftware werden.
Diese Angriffsart ist eigentlich nicht wirklich neu. Sicherheitsexperten hatten bereits früher über das mögliche Risiko bei der Verteilung von Software gewarnt. Eingetretene Vorfälle blieben bisher allerdings ziemlich isoliert – bis jetzt.
In diesem Jahr gab es mindestens fünf hochkarätige Fälle, in denen Hacker in die IT-Infrastruktur von Softwareanbieter einbrachen und Malware in die Programme einschleusten, die von einer großen Anzahl von Benutzern vertrauensvoll genutzt wurden. Jüngstes Beispiel dafür, war die vor kurzem erfolgreiche Infizierung der populären CCleaner Software , ein Windows-Systemoptimierungswerkzeug, das an über 2,2 Millionen Nutzer ausgeliefert wurde.
Viele Angriffsvektoren
Leider gibt es bei einer Supply Chain viele Angriffspunkte, auf die potentielle Angreifer abzielen können. Wie im CCleaner-Fall konnten die Angreifer in die Entwicklungsinfrastruktur des Softwareanbieters eindringen und ihren Schadcode den Anwendungen hinzufügen, bevor sie kompiliert und der Öffentlichkeit zugänglich gemacht wurden. Die Angriffsversuche starten meist mit Spear-Phishing Attacke – zielgerichtete E-Mail-Angriffe – und Social Engineering-Methoden auf Unternehmensmitarbeiter mit möglichst hohen Netzwerkprivilegien. Ist die erste Hürde überwunden bewegen sich die Angreifer seitlich durch das interne Netzwerk, von System zu System, nutzen Schwachstellen aus und sammeln Anmeldeinformationen, bis der Zugang zu den kritischen Systemen erreicht wird.
Pre-Software-Releases sind zudem sehr gefährlich, da die resultierenden Software-Pakete mit der digitalen Identität ihres Schöpfers signiert sind und somit die Anwendungs-Whitelisting-Technologien umgangen werden können. Für den Benutzer wird es dann fast unmöglich eine entsprechende Anomalie zu erkennen.
Ein Beispiel für einen einfachen Supply-Chain-Angriff wäre die Kompromittierung eines Web-Servers, den der Softwareanbieter für die Verteilung von Software-Updates oder Releases verwendet. In diesem Fall werden die legitimen Dateien mit Malware infizierten Dateien ausgewechselt. Solche Modifikationen sind zwar theoretisch erkennbar, weil sie die digitalen Signaturen brechen, wenn die originalen Programme entsprechend digital signiert sind. Allerdings werden im Internet immer noch zu viele Programme angeboten, bei denen weder die digitalisierte Signatur noch die Updates überprüft werden.
Im Februar berichtete Microsoft über einen Supply-Chain-Angriff gegen Technologie- und Finanzorganisationen, bei denen Angreifer deren Update-Server mit einem unsignierten Drittanbieter-Editor-Tool beeinträchtigten. Die Hacker nutzten ihren Zugang, um eine infizierte ausführbare Datei als sogenanntes Update für das Tool bereit zu stellen, welches das eigentliche Programm dann heruntergeladen und ausgeführt hat.
Problematisch ist auch die Übertragung von Updates über nicht verschlüsselte Kanäle. Durch Man-in-the-Middle-Methoden sind Angreifer in der Lage den Datenaustausch zwischen Benutzer-Computer und Update-Server abzufangen und zu manipulieren. Über unsichere Wi-Fi-Netzwerke oder durch kompromittierte Router, können so manipulierte Updates an die Computer der Benutzer gesendet werden, ohne dass der Server des Anbieters kompromittiert werden muss.
Ein weiteres Einfallstor kann auch der Code eines Drittanbieters sein, den ein Entwickler für sein Projekt verwendet. Moderne Anwendungen enthalten zahlreiche Drittanbieterbibliotheken, Frameworks und SDKs (Software Development Kits). Wenn eine dieser Komponenten kompromittiert wird/wurde, könnte sich der bösartige Code aufgrund der ungeprüften Integrationen auf Tausende von anderen Programmen ausbreiten.
Es gibt keine einfache Verteidigung
Viele Supply-Chain-Angriffe verwenden Memory-Injektionstechniken, bei denen bösartiger Code direkt in den Speicher von kompromittierten Prozessen geladen wird und keine Dateien erzeugt oder andere digitale Spuren auf Datenträgern hinterlässt. Nicht alle Endpoint-Sicherheitslösungen erkennen solche Malware-Bedrohungen.
Abhängig von der Sicherheitslösung, die auf der Maschine des Opfers installiert ist, könnte ein Angriff gestoppt werden oder eben auch nicht. Supply-Chain-Angriffe, die auf Hardware-Anbieter ausgerichtet sind, sind fast unmöglich zu erkennen, da eine böswillige Firmware das Betriebssystem oder die lokal installierten Sicherheitslösungen beeinträchtigen kann.
Fazit
Der Anstieg der Supply-Chain-Angriffe geht direkt mit einer Zunahme der Zahl der Angriffe auf Entwickler und System-Ingenieure einher, da diese Personen typischerweise über einen privilegierten Zugang zur Entwicklungs- und IT-Infrastruktur ihres Arbeitgebers besitzen. Einige Sicherheitsforscher sind davon überzeugt, dass es viele Softwareprogramme gibt, die aufgrund von Supply-Chain-Chain-Attacken kompromittiert, aber bisher noch nicht entdeckt wurden. Um diesen Trend zu stoppen, sind letztlich die Softwareentwickler gefragt, bessere interne Revisionen und starke Code-Review-Praktiken einzuführen, bevor ein Produkt für den Verbraucher freigegeben wird. Zudem sollten alle Produkte eine digitale Signatur besitzen und nur über sichere und verschlüsselte Kanäle verteilt werden. Im Allgemeinen haben Unternehmen auch einen besseren Zugang zu starken Sicherheitslösungen und Technologien als die Konsumenten.