DigiCert Support-Portal-Hack: 27 Code-Signing-Zertifikate gestohlen

Ein Sicherheitsvorfall bei einer der vertrauenswürdigsten Zertifizierungsstellen des Internets hat ernsthafte Fragen zur Sicherheit der Software-Lieferkette aufgeworfen. DigiCert, ein führender Anbieter digitaler Zertifikate zur Überprüfung der Echtheit von Software und Websites, bestätigte, dass Angreifer Social Engineering einsetzten, um zwei technische Support-Mitarbeiter zu kompromittieren, sich Zugang zu Backend-Systemen zu verschaffen und 27 Code-Signing-Zertifikate zu stehlen. Diese Zertifikate wurden anschließend zum Signieren von Malware verwendet, bevor DigiCert sie widerrief.

Der Vorfall ist eine Erinnerung daran, dass selbst die Organisationen, die für die Aufrechterhaltung digitalen Vertrauens verantwortlich sind, nicht immun gegen auf Menschen abzielende Angriffe sind.

Was sind Code-Signing-Zertifikate und warum sind sie wichtig?

Wenn Sie Software herunterladen, prüft Ihr Betriebssystem häufig, ob diese eine gültige digitale Signatur trägt. Diese Signatur, die von einer vertrauenswürdigen Zertifizierungsstelle wie DigiCert ausgestellt wird, soll bestätigen, dass die Software aus einer legitimen Quelle stammt und nicht manipuliert wurde. Dies ist ein zentraler Bestandteil der Art und Weise, wie moderne Betriebssysteme – von Windows bis macOS – Benutzern helfen, vertrauenswürdige Software von bösartigen Nachahmern zu unterscheiden.

Wenn Angreifer in den Besitz legitimer Code-Signing-Zertifikate gelangen, können sie Malware in einen Mantel der Legitimität hüllen. Sicherheitstools, Betriebssystemwarnungen und sogar einige unternehmenseigene Endpunktschutzsysteme können signierte Software standardmäßig als vertrauenswürdig einstufen. Ein Benutzer, der eine scheinbar signierte und verifizierte Anwendung herunterlädt, hat weniger visuelle Hinweise, die ihn warnen, dass etwas nicht stimmt.

In diesem Fall wurden 27 gestohlene Zertifikate aktiv zum Signieren von Malware verwendet, bevor DigiCert den Vorfall erkannte und sie widerrief. Der Widerruf ist die richtige Reaktion, bietet jedoch keinen sofortigen Schutz. Widerrufsprüfungen werden nicht immer in Echtzeit durchgesetzt, und einige Systeme oder Konfigurationen erkennen möglicherweise nicht sofort, dass ein zuvor gültiges Zertifikat nicht mehr vertrauenswürdig ist.

Wie der Angriff ablief: Social Engineering am Help Desk

Die Methode, die zur Erlangung des Zugangs verwendet wurde, verdient besondere Aufmerksamkeit. Die Angreifer nutzten keine ungepatchte Software-Schwachstelle aus und brachen auch nicht mit roher Gewalt durch eine Firewall. Sie zielten auf Menschen ab. Zwei technische Support-Mitarbeiter wurden manipuliert, um Zugang zu Backend-Systemen zu gewähren – eine Technik, die allgemein als Social Engineering bekannt ist.

Help-Desk- und Support-Mitarbeiter werden häufig auf diese Weise ins Visier genommen, weil ihre Arbeit es erfordert, hilfsbereit und reaktionsschnell zu sein. Angreifer geben sich häufig als Kollegen, Lieferanten oder dringende interne Anfragen aus, um Support-Mitarbeiter unter Druck zu setzen, normale Verifizierungsverfahren zu umgehen.

Dieser Angriff folgt einem gut etablierten Muster, das bei Sicherheitsverletzungen in großen Organisationen branchenübergreifend beobachtet wird. Die Lektion ist nicht, dass DigiCert besonders fahrlässig war. Sie lautet vielmehr, dass Social Engineering eines der effektivsten verfügbaren Angriffsvektoren bleibt, unabhängig davon, wie ausgereift die technischen Abwehrmechanismen des Ziels sind.

Was das für Sie bedeutet

Wenn Sie Sicherheitssoftware, VPN-Clients oder andere Anwendungen aus dem Internet herunterladen, hat dieser Vorfall direkte Relevanz für Ihre persönlichen Sicherheitspraktiken.

Erstens ist es wichtiger denn je, Software nur von offiziellen Primärquellen herunterzuladen. Eine Zertifikatssignatur ist ein nützliches Signal, aber sie ist nicht unfehlbar, wie dieser Vorfall zeigt. Vermeiden Sie das Herunterladen von Software aus App-Stores von Drittanbietern, Spiegelseiten oder Links, die über soziale Medien oder E-Mail geteilt werden, es sei denn, Sie haben die Quelle unabhängig verifiziert.

Zweitens stellt das Aktualisieren Ihres Betriebssystems und Ihrer Sicherheitssoftware sicher, dass widerrufene Zertifikate auf Ihrem Gerät als ungültig erkannt werden. Zertifikatswiderrufslisten und OCSP-Updates (Online Certificate Status Protocol) werden über System- und Browser-Updates verteilt. Ein veraltetes System vertraut möglicherweise weiterhin einem bereits widerrufenen Zertifikat.

Drittens lohnt es sich für Benutzer von VPN- oder Sicherheitssoftware insbesondere, regelmäßig zu überprüfen, woher Ihre Installationen stammen und ob der Anbieter Sicherheitshinweise kommuniziert hat. Seriöse Anbieter werden Probleme offenlegen, die ihre Software-Verteilungspipeline betreffen.

Für Organisationen unterstreicht dieser Vorfall die Notwendigkeit, Multi-Faktor-Authentifizierung für alle Support- und Verwaltungsmitarbeiter zu verlangen, strenge Verifizierungsverfahren vor der Gewährung jeglichen Zugangs einzuführen und zu prüfen, welche Mitarbeiter auf sensible Zertifikatsverwaltungssysteme zugreifen können.

Handlungsempfehlungen

  • Laden Sie Software nur von offiziellen Anbieter-Websites herunter. Vermeiden Sie Download-Aggregatoren von Drittanbietern, auch für bekannte Anwendungen.
  • Halten Sie Ihr Betriebssystem und Ihre Browser aktuell. Widerrufsdaten werden durch Updates bereitgestellt. Ein veraltetes System erkennt möglicherweise kompromittierte Zertifikate nicht.
  • Prüfen Sie Sicherheitshinweise des Anbieters. Wenn Sie von DigiCert signierte Software verwenden, besuchen Sie die offizielle Sicherheitsseite des Anbieters, um zu prüfen, ob Ihre installierte Software betroffen ist.
  • Seien Sie skeptisch gegenüber unerwarteten Software-Updates. Wenn Sie eine unaufgeforderte Aufforderung erhalten, eine Anwendung zu aktualisieren, verifizieren Sie dies über die Anwendung selbst, anstatt auf einen externen Link zu klicken.
  • Organisationen sollten Zertifikat-Trust-Stores überprüfen. Sicherheitsteams sollten prüfen, welchen Zertifikaten in ihren Umgebungen vertraut wird, und sicherstellen, dass die Widerrufsprüfung durchgesetzt wird.

DigiCerts Reaktion – einschließlich des Widerrufs der betroffenen Zertifikate – ist angemessen und zu erwarten. Die übergreifende Erkenntnis ist jedoch, dass die Vertrauensinfrastruktur, die der Software-Verteilung zugrunde liegt, ebenso sehr von menschlichen Prozessen abhängt wie von technischen. Zu verstehen, woher dieses Vertrauen kommt und wo es versagen kann, versetzt Sie in eine bessere Position, sich selbst zu schützen.