DigiCert Supportportaal Gehackt: 27 Codeondertekeningscertificaten Gestolen

DigiCert Supportportaal Gehackt: 27 Codeondertekeningscertificaten Gestolen

Een inbreuk bij een van de meest vertrouwde certificaatautoriteiten op het internet heeft ernstige vragen opgeroepen over de beveiliging van de softwaretoeleveringsketen. DigiCert, een grote leverancier van digitale certificaten die worden gebruikt om de authenticiteit van software en websites te verifiëren, bevestigde dat aanvallers social engineering hebben gebruikt om twee technische ondersteuningsmedewerkers te compromitteren, toegang te krijgen tot backendsystemen en 27 codeondertekeningscertificaten te stelen. Die certificaten werden vervolgens gebruikt om malware te ondertekenen voordat DigiCert ze introk.

Het incident is een herinnering dat zelfs de organisaties die verantwoordelijk zijn voor het handhaven van digitaal vertrouwen niet immuun zijn voor aanvallen gericht op mensen.

Wat Zijn Codeondertekeningscertificaten en Waarom Zijn Ze Belangrijk?

Wanneer u software downloadt, controleert uw besturingssysteem vaak of het een geldige digitale handtekening draagt. Deze handtekening, uitgegeven door een vertrouwde certificaatautoriteit zoals DigiCert, is bedoeld om te bevestigen dat de software afkomstig is van een legitieme bron en niet is gemanipuleerd. Het is een kernonderdeel van de manier waarop moderne besturingssystemen, van Windows tot macOS, gebruikers helpen betrouwbare software te onderscheiden van kwaadaardige namaak.

Wanneer aanvallers legitieme codeondertekeningscertificaten bemachtigen, kunnen ze malware omhullen met een laagje legitimiteit. Beveiligingstools, waarschuwingen van het besturingssysteem en zelfs sommige enterprise-eindpuntbeveiligingssystemen kunnen ondertekende software standaard als betrouwbaar behandelen. Een gebruiker die een ogenschijnlijk ondertekende, geverifieerde applicatie downloadt, heeft minder visuele signalen die hen waarschuwen dat er iets mis is.

In dit geval werden 27 gestolen certificaten actief gebruikt om malware te ondertekenen voordat DigiCert de inbreuk ontdekte en ze introk. Intrekking is de juiste reactie, maar biedt geen onmiddellijke bescherming. Intrekkingscontroles worden niet altijd in real time afgedwongen, en sommige systemen of configuraties herkennen mogelijk niet onmiddellijk dat een eerder geldig certificaat niet langer betrouwbaar is.

Hoe de Aanval Plaatsvond: Social Engineering bij de Helpdesk

De methode die werd gebruikt om toegang te verkrijgen verdient nauwkeurige aandacht. Aanvallers maakten geen misbruik van een ongepatchte softwarekwetsbaarheid of forceerden zich via brute kracht door een firewall. Ze richtten zich op mensen. Twee technische ondersteuningsmedewerkers werden gemanipuleerd om toegang te verlenen tot backendsystemen, een techniek die breed bekend staat als social engineering.

Helpdesk- en ondersteuningsmedewerkers worden op deze manier vaak aangevallen omdat hun werk vereist dat ze behulpzaam en responsief zijn. Aanvallers doen zich vaak voor als collega's, leveranciers of dringende interne verzoeken om ondersteuningsmedewerkers onder druk te zetten normale verificatieprocedures te omzeilen.

Deze aanval volgt een goed gevestigd patroon dat is waargenomen bij inbreuken bij grote organisaties in verschillende sectoren. De les is niet dat DigiCert bijzonder nalatig was. Het is dat social engineering een van de meest effectieve aanvalsvectoren blijft, ongeacht hoe geavanceerd de technische verdediging van het doelwit is.

Wat Dit voor U Betekent

Als u beveiligingssoftware, VPN-clients of andere applicaties van het internet downloadt, heeft dit incident directe relevantie voor uw persoonlijke beveiligingspraktijken.

Ten eerste is het downloaden van software uitsluitend van officiële, primaire bronnen belangrijker dan ooit. Een certificaathandtekening is een nuttig signaal, maar is niet onfeilbaar, zoals deze inbreuk aantoont. Vermijd het downloaden van software van app-stores van derden, spiegelsites of links gedeeld via sociale media of e-mail, tenzij u de bron onafhankelijk heeft geverifieerd.

Ten tweede zorgt het up-to-date houden van uw besturingssysteem en beveiligingssoftware ervoor dat ingetrokken certificaten op uw apparaat als ongeldig worden herkend. Certificaatintrekkingslijsten en OCSP-updates (Online Certificate Status Protocol) worden verspreid via systeem- en browserupdates. Een verouderd systeem kan blijven vertrouwen op een certificaat dat al is ingetrokken.

Ten derde is het voor gebruikers van VPN- of beveiligingssoftware in het bijzonder de moeite waard om periodiek te controleren waar uw installaties vandaan kwamen en of de leverancier beveiligingsmeldingen heeft gecommuniceerd. Gerenommeerde leveranciers zullen problemen die hun softwaredistributiepijplijn beïnvloeden openbaar maken.

Voor organisaties versterkt dit incident het argument voor het vereisen van meervoudige authenticatie voor alle ondersteunings- en administratief personeel, het implementeren van strikte verificatieprocedures voordat toegang wordt verleend, en het controleren welke medewerkers toegang hebben tot gevoelige certificaatbeheersystemen.

Bruikbare Conclusies

• Download software alleen van officiële leverancierswebsites. Vermijd downloadaggregators van derden, zelfs voor bekende applicaties.
• Houd uw besturingssysteem en browsers up-to-date. Intrekkingsgegevens worden via updates geleverd. Een verouderd systeem herkent mogelijk geen gecompromitteerde certificaten.
• Controleer op beveiligingsadviezen van leveranciers. Als u software gebruikt die door DigiCert is ondertekend, bezoek dan de officiële beveiligingspagina van de leverancier om te bevestigen of uw geïnstalleerde software is getroffen.
• Wees sceptisch over onverwachte software-updates. Als u een ongevraagde prompt ontvangt om een applicatie bij te werken, verifieer dit dan via de applicatie zelf in plaats van op een externe link te klikken.
• Organisaties moeten certificaatvertrouwensarchieven controleren. Beveiligingsteams moeten controleren welke certificaten vertrouwd worden in hun omgevingen en ervoor zorgen dat intrekkingscontrole wordt afgedwongen.

De reactie van DigiCert, inclusief het intrekken van de getroffen certificaten, is passend en verwacht. Maar de bredere les is dat de vertrouwensinfrastructuur die ten grondslag ligt aan softwaredistributie even sterk afhankelijk is van menselijke processen als van technische. Begrijpen waar dat vertrouwen vandaan komt, en waar het kan bezwijken, stelt u in een betere positie om uzelf te beschermen.