Microsoft-Zertifikate zur Signatur von Malware missbraucht (Dez. 2022)

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsforscher sind auf Fälle gestoßen, wo es Cyberkriminellen gelungen ist, Malware durch gültige digitale Zertifikate von Microsoft zu signieren. Dadurch kann die Malware die Prüfung auf eine Digitale Signatur unter Windows austricksen. Es scheinen gleich mehrere Bedrohungsakteure in den Missbrauch der digitalen Signatur von Microsoft verwickelt zu sein. Microsoft hat zum Patchday im Dezember 2022 aber Updates freigegeben, um die betroffenen Dateien zu erkennen und Angriffe zu eliminieren.


Anzeige

Unschöne Geschichte, die zeigt, dass digitale Signaturen zur Erhöhung der Sicherheit nicht helfen, wenn sie in falsche Hände geraten.  Bedrohungsakteuren ist es gelungen, infizierte Treiber für Windows mit gültigen digitalen Zertifikaten von Microsoft zu signieren. Die Bedrohungsakteure konnten damit Malware signieren, die sich dann als legitime Microsoft-Software ausgab, um die Sicherheitsüberprüfungen unter Microsoft Windows auszutricksen.

Microsoft unternimmt ja ab Windows 10 (64 Bit-Versionen) entsprechende Schritte, dass nur noch Treiber mit digitaler Signatur vom Betriebssystem  geladen werden. In einer koordinierten Offenlegung haben Microsoft und einige Sicherheitsanbieter den Sachverhalt zum Patchday (13. Dez. 2022) offen gelegt – Arstechnica hat es hier thematisiert.

Treiber mit Malware digital signiert

Im Dokument ADV220005 vom 13. Dezember 2022 bestätigt Microsoft, dass es einen Missbrauch seiner Treibersignierung gab. Microsoft schreibt, man sei am 19. Oktober 2022 von SentinelOne, Mandiant und Sophos darüber informiert worden, dass Treiber, die durch das Windows Hardware Developer Program von Microsoft zertifiziert wurden, in böswilliger Weise für Post-Exploitation-Aktivitäten verwendet wurden (Arstechnica führt hier die Erkenntnisse der Sicherheitsforscher auf).

Ergebnisse einer Untersuchung

Microsoft hat sofort eine eigene Untersuchung gestartet und diese inzwischen abgeschlossen. Die Untersuchung ergab, dass mehrere Entwicklerkonten für das Microsoft Partner Center schädliche Treiber einreichten, um eine Microsoft-Signatur zu erhalten. Microsoft gibt an, dass sich die Aktivität der Bedrohungsakteure auf den Missbrauch mehrerer Konten im Rahmen des Entwicklerprogramms beschränkte und dass Seitens Microsoft keine Gefährdung festgestellt wurde. Denn bei den gemeldeten Angriffen hatte der Angreifer bereits vor der Verwendung der digital signierten, aber kompromittierten, Treiber administrative Rechte auf den angegriffenen Systemen erlangt. Laufende Analysen des Microsoft Threat Intelligence Center (MSTIC) deuten darauf hin, dass die signierten bösartigen Treiber wahrscheinlich dazu verwendet wurden, um nach der Infizierung von Systemen die Bereitstellung von Ransomware zu erleichtern.


Anzeige

Sperre der Konten und Gegenmaßnahmen

Ein erneuter Versuch, am 29. September 2022 einen bösartigen Treiber zum Signieren einzureichen, führte Anfang Oktober zur Sperrung dieser Entwicklerkonten. Microsoft hat aber als Maßnahme die Konten der betroffenen Partner suspendiert und Blockierungserkennungen implementiert, um seine Kunden vor dieser Bedrohung zu schützen, schreibt das Unternehmen.

Microsoft hat Sicherheitsupdates für Windows veröffentlicht (siehe ADV220005), die das Zertifikat für die betroffenen Dateien widerrufen und die Verkäuferkonten der Partner gesperrt. Darüber hinaus hat Microsoft Blocking-Erkennungen implementiert (Microsoft Defender 1.377.987.0 und neuer), um Kunden vor rechtmäßig signierten Treibern zu schützen, die in böser Absicht für Post-Exploit-Aktivitäten verwendet wurden.

Microsoft schreibt, dass man mit Partnern des Microsoft Active Protections Program (MAPP) zusammen arbeite, um weitere Erkennungen zu entwickeln. Das Microsoft Partner Center arbeitet außerdem an langfristigen Lösungen, um diese betrügerischen Praktiken zu bekämpfen und zukünftige Auswirkungen auf die Kunden zu verhindern.

Microsoft empfiehlt allen Kunden, die neuesten Windows-Updates zu installieren und sicherzustellen, dass ihre Antiviren- und Endgeräteerkennungsprodukte mit den neuesten Signaturen ausgestattet und aktiviert sind, um diese Angriffe zu verhindern.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Microsoft-Zertifikate zur Signatur von Malware missbraucht (Dez. 2022)

  1. McAlex777 sagt:

    Okay, damit ist klar warum Defender auch die selbstsignierten Applikationen prüfen muss.

    Ausgesprochen schlechte Situation:
    Wenn in den Signatur-Details namhafte Hersteller auftauchten war das für mich bisher eine Unbedenklichkeits-Bescheinigung. Die Ist-Situation führt das AdAbsurdum.

    Im Grunde müssten die Zertifikate umgehend zurückgezogen werden, so das erkennbar ist das diese nicht mehr Vertrauenswürdig sind. Das würde möglicherweise tiefgreifende Auswirkungen auf Bestandssoftware haben, da diese Teils an Zertifikate gebunden ist (z.B. .NET)

    @Microsoft: Euer gesamtes Ökosystem wird zunehmend brüchig.

    • McAlex777 sagt:

      Sry, ich war mit dem Artikel noch nicht ganz durch … Microsoft zieht die Zertifikate offensichtlich tatsächlich zurück. Erst lesen – dann kommentieren :-)

    • Olli sagt:

      >> @Microsoft: Euer gesamtes Ökosystem wird zunehmend brüchig.

      Nicht nur das Microsoft Ökosystem. Das ganze Zertifikatswesen ist bekanntermaßen völlig kaputt und sorgt eigentlich nur noch für ständige Probleme und Ärger ohne noch einen oder den versprochenen Nutzwert zu besitzen.

      Aber auch im Google und Apple Store gibt es ja immer wieder schädliche Apps – das zu verhindern ja eigentlich das Argument dieser Anbieter für diverse Zwänge ist. Ist also auch nutzlos.

      Wie hier schon öfter zu lesen: Nicht Microsoft ist kaputt, sondern die gesamte Softwareentwicklung ist kaputt…

      • Luzifer sagt:

        naja da kann man ja jetzt hoffen! Die EU will ja auch die Produkthaftung für Software einführen/verstärken … naja da wird die Lobby schon fleißig Geldköfferchen schieben damit das nicht passiert, aber die Hoffnung stirbt zuletzt.
        Ansonsten gilt wie überall in der Software: Zero Trust Strategie wenn du es wirklich safe haben willst!

        Das Zertifikatswesen ist doch schon seit Jahren kaputt.

  2. mw sagt:

    "Das Zertifikatswesen ist doch schon seit Jahren kaputt."

    Das kann man generell so nicht stehen lassen. Die Signatur von Softwaremodulen bei Microsoft, Apple, Google und Konsorten ist definitiv kaputt. Sie war eigentlich noch nie heil. Die Signatur kann nur verhindern, daß modifizierte Betsandteile geladen werden. Wenn aber Malware signiert ist, dann wird sie geladen. Im Grunde sind die meisten Google, Apple und Microsoft Produkte Malware, denn Spyware ist auch Malware. Das gilt auch für die allermeisten Drittanbieter Produkte. IMHO ist eine Frage der Moral, die weitgehend abhanden gekommen ist. Das Bescheißen der Nutzer scheint allgemein anerkannt zu sein. Insofern ist nicht das zertifikatswesen kapuitt, sondern die Softwareindustrie. BTW wäre dann nicht Goggle & Co. eine kriminelle Vereinigung nach §129 StGB?

  3. rpr sagt:

    Spannend das solche eine Nummer nicht in Breite und Tiefe durch die Presse geht.
    IT ist einfach nur noch zu Kotzen.
    Sobald ich in Rente bin war es das mit dem Administration etc..
    Gruß

    • 1ST1 sagt:

      Was glaubst du, was in anderen Jobs so für ein Schmu läuft? Hättest du die Nase auch ruckzuck voll.

    • Olli sagt:

      Das würde voraussetzen, dass irgendjemand von der Presse – der zudem entsprechenden Einfluss besitzt – verstehen würde was in der IT – also z.B. bei diesem Problem hier – passiert. Meiner Erfahrung nach ist das nicht der Fall. Da ich nun eine Bekannte habe die für einen größeren Sender arbeitet, kann ich sagen das IT Know How dort tendiert gegen Null.

      Die Presse wird erst dann aufmerksam, wenn es richtig knallt – also Tote gibt – und zwar mehr als eine Handvoll – selbst bei der wenigen Ransomware Berichterstattung merkt man, dass die keinen blassen Schimmer haben und bislang hätte ich nicht mitbekommen, dass in den Massenmedien die IT-Sicherheitsproblematik auch nur ein einziges Mal thematisiert worden wäre.

      Der werden Leute vom BSI interviewt oder Sprecher von großen IT-(Sicherheits-)firmen – aber eben KEINE Admins von der Front, die ein reales ungeschöntes Bild zeichnen könnten. Schreibt man als Admin der Presse einen Leserbrief wird man als Weltuntergangsspinner wahrgenommen, eben weil dort wieder keiner die technischen Hintergründe versteht und das BSI das ja nicht so schlimm darstellt.

      Muss erst richtig krachen – und dann fragt die Presse: Wie konnte das passieren…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.