Microsoft-Zertifikate zur Signatur von Malware missbraucht

15. Dezember 2022, 15:16
image
Foto: Unsplash+

Unabhängig voneinander haben 4 IT-Security-Anbieter in der freien Wildbahn Microsoft-Zertifikate gefunden, mit denen bösartige Treiber signiert wurden.

4 IT-Security-Unternehmen haben entdeckt, dass Cyberkriminelle legitime digitale Zertifikate von Microsoft zum Signieren von Malware verwenden. Mit solchen Zertifikaten soll es möglich sein, strenge Sicherheitsüberprüfungen zu umgehen, die grundsätzlich verhindern sollten, dass schadhafte Anwendungen unter dem Windows-Betriebssystem ausgeführt werden. Dies hat gemäss 'Arstechnica' zu Spekulationen geführt, ob es eine böswillige Organisation gibt, die die Signatur von bösartigen Treibern als Dienstleistung anbietet.
Insgesamt hätten die Security-Forscher in den letzten Monaten mindestens 9 verschiedene Entwickler identifiziert, die die Zertifikate missbraucht haben, schreibt das Magazin. Alle 4 Unternehmen hätten den Missbrauch dabei unabhängig voneinander entdeckt und auch an Microsoft gemeldet. Am letzten Patch Tuesday, bestätigte Redmond die Ergebnisse und erklärte, dass der Missbrauch von mehreren Entwicklerkonten ausging.
Die entsprechenden Accounts seien mittlerweile gesperrt worden, schreibt der Softwareentwickler. Zudem sei eine Blockierfunktion implementiert worden, mit der verhindert werden soll, dass Windows den gefälschten Zertifikaten vertraut. "Microsoft empfiehlt allen Kunden, das neueste Windows-Update zu installieren und sicherzustellen, dass ihre Antiviren- und Endpoint-Detection-Produkte mit den neuesten Signaturen aktualisiert und aktiviert sind", schreibt das Unternehmen.

Aufwändige Zertifizierung

Da die meisten Treiber einen direkten Zugriff auf den Kern von Windows haben, verlangt Microsoft, dass sie in einem internen Verfahren digital signiert werden. Ohne diese Attestierung, wird der Treiber vom Betriebssystem nicht geladen, schreibt das Magazin. Die Beglaubigung sei somit auch für Sicher­heits­produkte von Drittanbietern zu einem Mittel geworden, um zu entscheiden, ob ein Treiber vertrauenswürdig ist oder nicht.
Mit dem Windows Hardware Compatibility Program verfügt Microsoft über einen eigenen Validierungsprozess, bei dem die Treiber verschiedene Tests durchlaufen, um die Kompatibilität sicherzustellen. Um seine Treiber von Microsoft signieren zu lassen, muss ein Hardwareentwickler deshalb zunächst ein erweitertes Validierungszertifikat erhalten, mit dem der Entwickler seine Identität gegenüber einer vertrauenswürdigen Windows-Zertifizierungsstelle nachweisen muss.
Der Entwickler fügt dieses Zertifikat dann seinem Hardware-Developer Program-Konto hinzu. Anschliessend übermitteln die Entwickler ihr Treiberpaket an Microsoft zur Prüfung.

Vertrauen ist gut, Kontrolle besser

Gemäss den Sicherheitsforschenden von Sentinelone ist das Hauptproblem bei diesem Verfahren, dass die meisten Sicherheitslösungen implizit allem vertrauen, was von Microsoft signiert wird. Seit Windows 10 verlangt Microsoft jedoch, dass alle Kernel-Mode-Treiber über das Hardware Developer Center signiert werden. Alles, was nicht über diesen Prozess authentifiziert wurde, könne in modernen Windows-Versionen nicht geladen werden, schreiben die Security-Fachleute.
Die Absicht dieser neuen Anforderung sei eine strengere Kontrolle der Treiber, die auf der Kernel-Ebene arbeiten. Cyberkriminelle hätten allerdings erkannt, dass sie, sobald sie den Prozess ausgetrickst haben, tun und lassen können, was sie wollen. Der Trick bestehe insbesondere darin, einen Treiber zu entwickeln, der bei den Sicherheitsprüfungen nicht als bösartig erkannt wird.
Mandiant, ein weiteres Sicherheitsunternehmen, das den Missbrauch entdeckt hat, erklärte, dass mindestens 9 Namen von Organisationen identifiziert worden seien, die das Programm missbraucht haben. Die Bedrohungsakteure hätten sich so nicht nur einen Zugang zu den Microsoft-Zertifikaten verschafft, sondern auch Zertifikate von Drittanbieter-Zertifizierungsstellen erhalten, schreibt der Security-Anbieter.
Der Vorfall ist nicht der erste dieser Art. Bereits früher wurden Microsoft-Zertifikate gefunden, die für die Signatur von Malware verwendet wurden. Letztes Jahr fanden Forschende heraus, dass es sich bei einem von Microsoft signierten Treiber namens Netfilter in Wirklichkeit um ein Rootkit handelte, das zum Abhören von verschlüsselten Webdaten oder E-Mails verwendet wurde.

Loading

Mehr zum Thema

image

Cloud-Provider doppeln bei Microsoft-Kritik nach

Der US-Konzern beschränke mit seinen Lizenzbestimmungen den Wettbewerb, kritisiert die Vereinigung CISPE. Eine von ihr in Auftrag gegebene Studie soll dies jetzt belegen.

publiziert am 1.2.2023
image

AMD schlägt sich durch, Intel-CEO muss einbüssen

Trotz der schwierigen Wirtschaftslage kann sich AMD gut behaupten. Beim Konkurrenten sieht es anders aus: Intel spart bei den Löhnen – auch CEO Pat Gelsinger muss einstecken.

publiziert am 1.2.2023
image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023
image

Hunderte Software-Entwickler sollen ChatGPT trainieren

Wird einfaches Codeschreiben bald obsolet? OpenAI und Microsoft möchten ChatGPT beibringen, beim Schreiben von Code wie ein Mensch vorzugehen.

publiziert am 31.1.2023