Gefahr: Digital signierte Malware

Fehlende Kontrolle bei der Ausgabe von Zertifikaten zum Signieren von Windows-Programmen führt dazu, dass auch Malware-Autoren ihre Exzerpte mit gültigen digitalen Signaturen (Microsoft Authenticode-Zertifikate) versehen können.


Anzeige

Lädt man ein Programm aus dem Internet herunter, ist nie bekannt, ob dieses nicht mit Schadfunktionen versehen ist. Man kann das Programm auf Virus Total hochladen und prüfen lassen. Aber neue Malware wird nicht immer von den Virenscannern erkannt.

Digitale Signatur

Eine Vorsichtsmaßnahme, die möglicherweise einige Leute vor dem Einsatz solcher Programme nutzen, ist die Kontrolle, ob die Anwendung digital signiert ist. Es reicht, die .exe-Datei per Rechtsklick anzuwählen und dann im Kontextmenü Eigenschaften zu wählen. Auf der Registerkarte Digitale Signaturen erfährt man, ob ein Zertifikat vorliegt und von wem das ausgestellt wurde (siehe Screenshot).

Wilder Zertifikatehandel ohne Kontrolle

Ich bin vor einigen Tagen auf diesen Artikel bei The Register gestoßen. Sicherheitsforscher der Masaryk University in der Tschechischen Republik und des Maryland Cybersecurity Center (MCC) in den USA sind auf einen dicken Hund gestoßen. Sie identifizierten und überwachten vier Organisationen, die Microsoft Authenticode-Zertifikate an anonyme Käufer verkauften.


Anzeige

Nach der Auswertung kamen die Sicherheitsforscher zum Schluss, dass diese identifizierten Anbieter bereit sind, Authenticode-Zertifikate an jeden zu verkaufen, der bezahlen kann – es werden keine Fragen gestellt. Das Problem: Das Windows-Betriebssystem vertraut allen Programmen, ob bösartig oder nicht, die mit diesen Zertifikaten kryptographisch signiert sind.

Das gleiche Forschungsteam fand inzwischen auch einen Fundus an Windows-spezifischer Malware mit gültigen digitalen Signaturen. Weitere Details sind diesem Artikel zu entnehmen. Damit ist die Waffe 'digitale Signatur' von Anwendungen, um diese als vertrauenswürdig einzustufen, schlicht stumpf geworden. Was mich wundert: Scheinbar ist Microsoft noch nicht aktiv geworden, um die Zertifikatsanbieter zu sperren – oder ist euch da was bekannt?

Ergänzung: Inzwischen hat heise.de diesen Artikel zum Thema publiziert.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Gefahr: Digital signierte Malware

  1. Nein darüber habe ich keine Kenntnis, aber mit diesen Microsoft Authenticode-Zertifikate lässt sich ja ne menge Scheißdreck basteln und so Teuer sind die nun auch nicht $289 Pro Jahr und da hast du schon eines, dein Entwicklerstudio macht dann dicht oder Software wird durch ein Upgrade verändert und schon ist man drin in Windows und kann die Karten neu mischen.

  2. Exi sagt:

    Hallo Günter,
    aus meiner beruflichen Tätigkeit heraus kann ich allerdings berichten dass Treiber, die von Windows' DeviceGuard blockiert werden auch trotz eines solchen gültigen Microsoft-Zertifikats blockiert werden.
    SG

  3. Stefan Kanthak sagt:

    "Microsoft Authenticode-Zertifikate" gibt's NICHT!

    Authenticode ist lediglich Microsofts Bezichnung für "Signaturen gemäss Standard X.509", die Windows für "portable executable" Dateien, also *.EXE/*.DLL/*.SCR/*.EFI/*.OCX/*.MUI/*.CPL etc. unterstützt, sowie für *.CAB/*.MSU, für *.MSI/*.MSP, für *.JSE/*.VBE/*.PS1/…, "Office OpenXML"-Dateien *.DOCX/*.XLSX/*.PPTX etc.
    Sie entsprechen beispielsweise S/MIME-Signaturen, die ebenfalls nach X.509 erstellt werden, oder den von Mail- und WWW-Servern sowie -Clients (letztere sind auch als Web-Browser bekannt) mit SSL/TLS verwendeten Signaturen nach X.509.
    Die zum Erstellen solcher Signaturen benötigten X.509-Zertifikate werden von "certification authorities" ausgegeben; in den X.509-Zertifikaten wird festgelegt, für welche Zwecke sie verwendbar sind: das können einer oder mehrere sein, beispielsweise "Signieren/Verschlüsseln von Mail" alias 1.3.6.1.5.5.7.3.4, "Authentifizierung eines Clients" alias 1.3.6.1.5.5.7.3.1, "Authentifizierung eines Servers" alias 1.3.6.1.5.5.7.3.2, "Signieren von Code" alias 1.3.6.1.5.5.7.3.3 und viele mehr. Wenn eine CA Schindluder treibt, dann ist das gewiss nicht Microsofts Schuld.
    Microsoft wird bzw. kann aber, genau wie die Hersteller von Browsern, die mit den CAs im CA/B-Forum zusammenarbeiten, die "gefälschten" Zertifikate als unsicher deklarieren, oder die betreffenden CAs zum "Rückruf" auffordern, oder diese CAs komplett das Vertrauen entziehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.