Missbrauch von Code-Signing-Zertifikaten

Von Pratik Selva, Sr. Security Engineer bei Venafi

Die jüngste Sicherheitsverletzung bei Nvidia, bei der es um Zertifikatsmissbrauch ging, ähnelt auf unheimliche Weise der von Opera im Jahr 2013 und der von Adobe im Jahr 2012. Wenn Unternehmen den Prozess und die Infrastruktur für die Verwaltung von Code-Signing-Zertifikaten nicht ordnungsgemäß absichern, sind sowohl die Wahrscheinlichkeit eines Missbrauchs als auch die Auswirkungen einer Kompromittierung sehr hoch. Der Nvidia-Vorfall deutet auch auf das Auftreten von Lateral Movement hin, mit dem zu rechnen ist, sobald ein Angreifer Zugang zu einem Netzwerk erhält.

Rootkits wurden in diesem Fall nicht öffentlich bekannt gemacht, dennoch können solche Kompromittierungen durch Rootkits, wie DirtyMoe, erreicht werden, die verschiedene APT-Gruppen einsetzen. DirtyMoe verwendet einen mit einem widerrufenen Zertifikat signierten Treiber, der nahtlos in den Windows-Kernel geladen werden kann.

Dieser Vorfall wirft ein Schlaglicht auf die fehlenden Sicherheitskontrollen und die mangelnde Durchsetzung des Code-Signierungsprozesses sowie auf die ihn unterstützende Infrastruktur. Eines der Hauptprobleme besteht darin, dass widerrufene oder abgelaufene Zertifikate nicht von allen in Windows vorhandenen Sicherheitsmechanismen überprüft oder durchgesetzt werden, auch nicht von dem Mechanismus, der überprüft, ob geladene Treiber signiert sind. Infolgedessen können sich Windows-Benutzer nicht vollständig auf die eingebauten Schutzmechanismen verlassen und zu allem Überfluss verwenden viele sogar noch anfälligere EOL (End-of-Life) -Windows-Versionen.

Jedes Unternehmen sollte diese vorbeugenden Maßnahmen in Betracht ziehen:

• Die Infrastruktur, die Code Signing implementiert, sollte ausschließlich Code Signing durchführen.
• Auf einer solchen Infrastruktur sollte keine zusätzliche, nicht unbedingt erforderliche Software installiert werden. Jede zusätzliche Software sollte als potenzieller Angriffsvektor betrachtet werden, der missbraucht werden kann.
• In der internen Systemklassifizierung einer Organisation sollte die Code Signing-Infrastruktur mit dem Status „kritisch“ eingestuft werden.
• Die Code Signing-Infrastruktur sollte stets auf dem neuesten Stand gehalten und gepatcht werden.
• Jede intern durchgeführte Risikoprüfung/-bewertung sollte die Code Signing-Infrastruktur des Unternehmens einschließen.

Wenn es um die Überprüfung von Zertifikaten geht, ist eine manuelle Zertifikatsüberprüfung eine empfohlene Ergänzung des Prozesses, insbesondere in Fällen von ausführbaren Dateien, die erhöhte Rechte erfordern.