{"id":224501,"date":"2019-11-03T00:34:00","date_gmt":"2019-11-02T23:34:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=224501"},"modified":"2019-10-31T19:35:03","modified_gmt":"2019-10-31T18:35:03","slug":"die-schwachstellen-in-microsoft-authenticode","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/11\/03\/die-schwachstellen-in-microsoft-authenticode\/","title":{"rendered":"Die Schwachstellen in Microsoft Authenticode"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Die Grundlagen f\u00fcr Microsofts Authenticode Code Signing sind ersch\u00fcttert. In einem Blog-Beitrag zeigen Sicherheitsforscher, wie die Komplexit\u00e4t von Microsoft Authenticode genutzt werden k\u00f6nnte, um die Signierung zu unterlaufen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg07.met.vgwort.de\/na\/1d7e0c12d7af4dbeb9c0714c239f4747\" width=\"1\" height=\"1\"\/>Authenticode ist eine Microsoft Code Signing-Technologie, die Softwarehersteller verwenden, um die Herkunft und Integrit\u00e4t ihrer Anwendungen zu gew\u00e4hrleisten. Die \u00fcberwiegende Mehrheit moderner Programm nutzt Microsoft Authenticode aktiv und ist daher auf dessen Integrit\u00e4tsvalidierungssystem angewiesen. <\/p>\n<p>Das Kernprinzip von Authenticode ist die Unver\u00e4nderlichkeit des Codes &#8211; eine feste Garantie daf\u00fcr, dass sich der Code einer einmal signierten Anwendung nicht \u00e4ndern kann, ohne die Integrit\u00e4t der digitalen Signatur zu beeintr\u00e4chtigen. Auf diese Weise k\u00f6nnen die Anwendungsbenutzer sicher sein, dass der Code, den sie ausf\u00fchren, derjenige ist, der vom Softwarehersteller erstellt und signiert wurde.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Breaking the Microsoft Authenticode security model <a href=\"https:\/\/t.co\/JyYvR2dORT\">https:\/\/t.co\/JyYvR2dORT<\/a><\/p>\n<p>\u2014 Aryeh Goretsky (@goretsky) <a href=\"https:\/\/twitter.com\/goretsky\/status\/1189704176927821824?ref_src=twsrc%5Etfw\">October 31, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>\u00dcber obigen Tweet wurde ich auf den Artikel <a href=\"https:\/\/blog.reversinglabs.com\/blog\/rocking-the-foundations-of-a-trust-based-digital-code-signing-system\" target=\"_blank\" rel=\"noopener noreferrer\">Breaking the Microsoft Authenticode security model<\/a> von Reversing Labs aufmerksam. Die Sicherheitsforscher schreiben, dass Microsoft Authenticode zwar sehr gut entworfen worden sei. Da das Ganze aber recht komplex ist, k\u00f6nnen sie drei Stellen aufzeigen, die eine Manipulation von Programmcode erm\u00f6glichen, ohne dass die Microsoft Authenticode-Signatur dabei ung\u00fcltig wird. <\/p>\n<h2>Schwachstellen in Microsoft Authenticode<\/h2>\n<p>Eine Schwachstelle besteht darin, dass der Authenticode in einem Overlay-Bereich am Ende der ausf\u00fchrbaren Programmdatei abgelegt ist. Dort k\u00f6nnen aber auch Code-Bestandteile abgelegt werden. Eine speziell entwickelte Anwendung kann dies missbrauchen, indem sie ihren gesamten Code in die erweiterte Authenticode-Signatur einf\u00fcgt. Der Datenbereich ist aber nicht Teil der Integrit\u00e4tspr\u00fcfung des Programmcodes. Auf diese Weise kann der Code der Anwendung nach der Signierung ge\u00e4ndert werden, und die Anwendung kann dazu gebracht werden, sich anders zu verhalten, ohne ihre urspr\u00fcngliche Integrit\u00e4t zu verlieren.<\/p>\n<p>Der Artikel zeigt eine weitere Schwachstelle in der Validierung von signierten UEFI-Treibern und \u2013Anwendungen, und geht auf Fehler bei der Validierung von Linux- und Open-Source-Signaturen ein. Diese Fehler lassen sich in Windows bis zu Windows XP zur\u00fcckverfolgen. Also in Kurzfassung: Man kann nicht wirklich sicher sein, dass signierte Dateien wirklich nicht manipuliert sind, wenn das auch scheinbar noch nicht ausgenutzt wurde. Details sind im Artikel <a href=\"https:\/\/blog.reversinglabs.com\/blog\/rocking-the-foundations-of-a-trust-based-digital-code-signing-system\" target=\"_blank\" rel=\"noopener noreferrer\">Breaking the Microsoft Authenticode security model<\/a> nachlesbar.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Grundlagen f\u00fcr Microsofts Authenticode Code Signing sind ersch\u00fcttert. In einem Blog-Beitrag zeigen Sicherheitsforscher, wie die Komplexit\u00e4t von Microsoft Authenticode genutzt werden k\u00f6nnte, um die Signierung zu unterlaufen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-224501","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224501","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=224501"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224501\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=224501"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=224501"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=224501"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}