{"id":276027,"date":"2022-12-15T15:05:04","date_gmt":"2022-12-15T14:05:04","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=276027"},"modified":"2022-12-16T00:16:16","modified_gmt":"2022-12-15T23:16:16","slug":"microsoft-zertifikate-zur-signatur-von-malware-missbraucht-dez-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/12\/15\/microsoft-zertifikate-zur-signatur-von-malware-missbraucht-dez-2022\/","title":{"rendered":"Microsoft-Zertifikate zur Signatur von Malware missbraucht (Dez. 2022)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Sicherheitsforscher sind auf F\u00e4lle gesto\u00dfen, wo es Cyberkriminellen gelungen ist, Malware durch g\u00fcltige digitale Zertifikate von Microsoft zu signieren. Dadurch kann die Malware die Pr\u00fcfung auf eine Digitale Signatur unter Windows austricksen. Es scheinen gleich mehrere Bedrohungsakteure in den Missbrauch der digitalen Signatur von Microsoft verwickelt zu sein. Microsoft hat zum Patchday im Dezember 2022 aber Updates freigegeben, um die betroffenen Dateien zu erkennen und Angriffe zu eliminieren.<\/p>\n

<\/p>\n

\"\"Unsch\u00f6ne Geschichte, die zeigt, dass digitale Signaturen zur Erh\u00f6hung der Sicherheit nicht helfen, wenn sie in falsche H\u00e4nde geraten.\u00a0 Bedrohungsakteuren ist es gelungen, infizierte Treiber f\u00fcr Windows mit g\u00fcltigen digitalen Zertifikaten von Microsoft zu signieren. Die Bedrohungsakteure konnten damit Malware signieren, die sich dann als legitime Microsoft-Software ausgab, um die Sicherheits\u00fcberpr\u00fcfungen unter Microsoft Windows auszutricksen.<\/p>\n

Microsoft unternimmt ja ab Windows 10 (64 Bit-Versionen) entsprechende Schritte, dass nur noch Treiber mit digitaler Signatur vom Betriebssystem\u00a0 geladen werden. In einer koordinierten Offenlegung haben Microsoft und einige Sicherheitsanbieter den Sachverhalt zum Patchday (13. Dez. 2022) offen gelegt – Arstechnica hat es hier<\/a> thematisiert.<\/p>\n

Treiber mit Malware digital signiert<\/h2>\n

Im Dokument ADV220005<\/a> vom 13. Dezember 2022 best\u00e4tigt Microsoft, dass es einen Missbrauch seiner Treibersignierung gab. Microsoft schreibt, man sei am 19. Oktober 2022 von SentinelOne, Mandiant und Sophos dar\u00fcber informiert worden, dass Treiber, die durch das Windows Hardware Developer Program von Microsoft zertifiziert wurden, in b\u00f6swilliger Weise f\u00fcr Post-Exploitation-Aktivit\u00e4ten verwendet wurden (Arstechnica f\u00fchrt hier<\/a> die Erkenntnisse der Sicherheitsforscher auf).<\/p>\n

Ergebnisse einer Untersuchung<\/h2>\n

Microsoft hat sofort eine eigene Untersuchung gestartet und diese inzwischen abgeschlossen. Die Untersuchung ergab, dass mehrere Entwicklerkonten f\u00fcr das Microsoft Partner Center sch\u00e4dliche Treiber einreichten, um eine Microsoft-Signatur zu erhalten. Microsoft gibt an, dass sich die Aktivit\u00e4t der Bedrohungsakteure auf den Missbrauch mehrerer Konten im Rahmen des Entwicklerprogramms beschr\u00e4nkte und dass Seitens Microsoft keine Gef\u00e4hrdung festgestellt wurde. Denn bei den gemeldeten Angriffen hatte der Angreifer bereits vor der Verwendung der digital signierten, aber kompromittierten, Treiber administrative Rechte auf den angegriffenen Systemen erlangt. Laufende Analysen des Microsoft Threat Intelligence Center (MSTIC) deuten darauf hin, dass die signierten b\u00f6sartigen Treiber wahrscheinlich dazu verwendet wurden, um nach der Infizierung von Systemen die Bereitstellung von Ransomware zu erleichtern.<\/p>\n

Sperre der Konten und Gegenma\u00dfnahmen<\/h2>\n

Ein erneuter Versuch, am 29. September 2022 einen b\u00f6sartigen Treiber zum Signieren einzureichen, f\u00fchrte Anfang Oktober zur Sperrung dieser Entwicklerkonten. Microsoft hat aber als Ma\u00dfnahme die Konten der betroffenen Partner suspendiert und Blockierungserkennungen implementiert, um seine Kunden vor dieser Bedrohung zu sch\u00fctzen, schreibt das Unternehmen.<\/p>\n

Microsoft hat Sicherheitsupdates f\u00fcr Windows ver\u00f6ffentlicht (siehe ADV220005<\/a>), die das Zertifikat f\u00fcr die betroffenen Dateien widerrufen und die Verk\u00e4uferkonten der Partner gesperrt. Dar\u00fcber hinaus hat Microsoft Blocking-Erkennungen implementiert (Microsoft Defender 1.377.987.0 und neuer), um Kunden vor rechtm\u00e4\u00dfig signierten Treibern zu sch\u00fctzen, die in b\u00f6ser Absicht f\u00fcr Post-Exploit-Aktivit\u00e4ten verwendet wurden.<\/p>\n

Microsoft schreibt, dass man mit Partnern des Microsoft Active Protections Program (MAPP) zusammen arbeite, um weitere Erkennungen zu entwickeln. Das Microsoft Partner Center arbeitet au\u00dferdem an langfristigen L\u00f6sungen, um diese betr\u00fcgerischen Praktiken zu bek\u00e4mpfen und zuk\u00fcnftige Auswirkungen auf die Kunden zu verhindern.<\/p>\n

Microsoft empfiehlt allen Kunden, die neuesten Windows-Updates zu installieren und sicherzustellen, dass ihre Antiviren- und Endger\u00e4teerkennungsprodukte mit den neuesten Signaturen ausgestattet und aktiviert sind, um diese Angriffe zu verhindern.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsforscher sind auf F\u00e4lle gesto\u00dfen, wo es Cyberkriminellen gelungen ist, Malware durch g\u00fcltige digitale Zertifikate von Microsoft zu signieren. Dadurch kann die Malware die Pr\u00fcfung auf eine Digitale Signatur unter Windows austricksen. Es scheinen gleich mehrere Bedrohungsakteure in den Missbrauch … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-276027","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276027","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=276027"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276027\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=276027"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=276027"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=276027"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}