{"id":263159,"date":"2022-03-05T10:52:00","date_gmt":"2022-03-05T09:52:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263159"},"modified":"2022-03-05T10:55:05","modified_gmt":"2022-03-05T09:55:05","slug":"nvidia-hack-daten-und-source-code-offen-gelegt-zertifikate-gestohlen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/05\/nvidia-hack-daten-und-source-code-offen-gelegt-zertifikate-gestohlen\/","title":{"rendered":"Nvidia-Hack: Daten und Source-Code offen gelegt, Zertifikate gestohlen"},"content":{"rendered":"

\"SicherheitMitte Februar 2022 musste Nvidia einen Hack seiner IT-Infrastruktur eingestehen. Dieser Hack der IT-Systeme des Grafikkartenherstellers Nvidia entwickelt sich immer mehr zum Desaster. So wurden nicht nur die (Anmelde-)Daten von 71.000 Mitarbeitern durch die Hacker gestohlen. Die Angreifer konnten auch Zertifikate erbeuten, mit denen sich Malware f\u00fcr Windows signieren l\u00e4sst. Diese Malware w\u00fcrde als g\u00fcltige Windows-Anwendungen von Nvidia daher kommen.<\/p>\n

<\/p>\n

Der Nvidia-Hack <\/h2>\n

\"\"Der Hersteller von Grafikkarten und -Chips, Nvidia, ist Opfer eines Cyberangriffs geworden. Ich hatte im Blog-Beitrag Nvidia und McDonalds von Cyberangriff betroffen (25. Feb. 2022)<\/a> dar\u00fcber berichtet. Damals untersuchte der US-Chiphersteller Nvidia Corp. laut eigenen Angaben einen m\u00f6glichen Cyberangriff. Nach dem Cyberangriff waren Teile der Unternehmens-IT f\u00fcr zwei Tage gest\u00f6rt. Es war unklar, ob Daten gestohlen oder gel\u00f6scht wurden – der Angriff wurde aber als \"minderschwer\" eingestuft.<\/p>\n

\"Nvidia<\/a><\/p>\n

Bei heise gab es dann den Beitrag hier<\/a>, in dem berichtet wird, dass Nvidia sogar angeblich zur\u00fcckgeschlagen habe. Per Remote-Zugriff habe Nvidia die gestohlenen Daten verschl\u00fcsselt. Verantwortlich f\u00fcr den Hack ist die in S\u00fcdamerika vermutete Hackergruppe Lapsus$, wie heise berichtet. Der obige Tweet<\/a> best\u00e4tigt den Sachverhalt, wobei die Hacker angeben, dass sie \u00fcber ein Backup verf\u00fcgten. Die Gruppe hat wohl bis zu 250 GB vertrauliche Daten erbeutet.<\/p>\n

Die Hackergruppe reagierte ver\u00e4rgert und forderte den Hersteller auf, seine Treiber auf Open Source umzustellen (wie hier zu lesen<\/a>). Zudem soll Nvidia den Mining-Bremse aus seinen Grafiktreibern entfernen (siehe<\/a>). Die Dead-Line war der 4. M\u00e4rz 2022, danach sollten Informationen aus den beim Hack erbeuteten Daten ver\u00f6ffentlicht werden. Zur Beute geh\u00f6rt auch der Source-Code f\u00fcr Nvidia-Software, die ver\u00f6ffentlicht werden sollte.<\/p>\n

Anmeldedaten gestohlen<\/h2>\n

Nun berichten Medien wie Bleeping Computer<\/a>, dass die Hacker mehr als 71.000 Anmeldedaten von Mitarbeitern erbeutet h\u00e4tten und einige von ihnen im Internet ver\u00f6ffentlicht wurden. Der Dienst Have I Been Pwned, der \u00fcber Datenschutzverletzungen informiert, hat am Mittwoch die Daten von 71.335 kompromittierten Konten in seine Datenbank aufgenommen. Laut Have I Been Pwned enthalten die gestohlenen Daten \"E-Mail-Adressen und NTLM-Passwort-Hashes, von denen viele anschlie\u00dfend geknackt und innerhalb der Hacker-Community in Umlauf gebracht wurden.\"<\/p>\n

Zertifikate missbraucht<\/h2>\n

Nun kommt der n\u00e4chste Schlag, denn die Hacker sind wohl auch an Code-Signing-Zertifikate gelangt, mit denen sich Software signieren l\u00e4sst. Diese wurden u.a. zum Signieren von Windows-Treibern verwendet, da Windows 10 in den 64-Bit-Versionen eine solche Signatur erzwingt. <\/p>\n

\"Nvidia<\/a><\/p>\n

Wie u.a. heise hier<\/a> unter Bezug auf obigen Tweet<\/a> berichtet, hat der Sicherheitsforscher Florian Roth erste Malware entdeckt, die mit diesen Zertifikaten signiert wurde. Mimkatz kann NTLM-Hashes aus dem Arbeitsspeicher von Windows-Systemen extrahieren. KDU erm\u00f6glicht Zugriff auf Kernelfunktionen, um z.B. Prozesse zu verstecken. Eigentlich sollten die Zertifikate kein Problem darstellen, da sie 2014 und 2018 abgelaufen sind. Da Windows aber auch \u00e4ltere digital signierte Treiber akzeptiert, wenn deren Zertifikate abgelaufen sind, lassen sich die Code-Signing-Zertifikate missbrauchen. Ein ziemlicher Schlamassel.<\/p>\n","protected":false},"excerpt":{"rendered":"

Mitte Februar 2022 musste Nvidia einen Hack seiner IT-Infrastruktur eingestehen. Dieser Hack der IT-Systeme des Grafikkartenherstellers Nvidia entwickelt sich immer mehr zum Desaster. So wurden nicht nur die (Anmelde-)Daten von 71.000 Mitarbeitern durch die Hacker gestohlen. Die Angreifer konnten auch … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,4325],"class_list":["post-263159","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263159","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263159"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263159\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263159"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263159"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263159"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}