Hur många kodsigneringscertifikat stals vid DigiCert-intrånget?

27 kodsigneringscertifikat stals under intrånget. De användes därefter för att signera skadlig programvara innan DigiCert återkallade dem.

Hur fick angriparna tillgång till DigiCerts system?

Angriparna använde social ingenjörskonst för att manipulera två tekniska supportmedarbetare att ge tillgång till backend-system. Ingen programvarusårbarhet eller brute-force-teknik användes.

Vad är ett kodsigneringscertifikat och varför är det värdefullt för angripare?

Ett kodsigneringscertifikat är en digital signatur utfärdad av en betrodd certifikatutfärdare som verifierar att programvara kommer från en legitim källa och inte har manipulerats. Angripare som skaffar ett sådant kan signera skadlig programvara för att få den att verka pålitlig för operativsystem och säkerhetsverktyg.

Skyddar återkallandet av de stulna certifikaten användarna omedelbart?

Återkallelse är rätt åtgärd men ger inte omedelbart skydd, eftersom kontroller av återkallelse inte alltid verkställs i realtid. Vissa system eller konfigurationer kanske inte omedelbart känner igen att ett tidigare giltigt certifikat inte längre är pålitligt.

Varför är helpdesk- och supportpersonal ofta måltavlor vid social ingenjörskonst-attacker?

Supportpersonal är ofta måltavlor eftersom deras arbete kräver att de är hjälpsamma och lyhörda, vilket gör dem mer mottagliga för manipulation. Angripare utger sig vanligtvis för att vara kollegor, leverantörer eller brådskande interna förfrågningar för att pressa personalen att kringgå normala verifieringsrutiner.

DigiCert-supportportal hackad: 27 kodsigneringscertifikat stulna

Ett intrång hos en av internets mest betrodda certifikatutfärdare har väckt allvarliga frågor om säkerheten i programvarans leveranskedja. DigiCert, en ledande leverantör av digitala certifikat som används för att verifiera äktheten hos programvara och webbplatser, bekräftade att angripare använde social ingenjörskonst för att kompromettera två av sina tekniska supportmedarbetare, fick tillgång till backend-system och stal 27 kodsigneringscertifikat. Dessa certifikat användes därefter för att signera skadlig programvara innan DigiCert återkallade dem.

Händelsen påminner oss om att även de organisationer som ansvarar för att upprätthålla digitalt förtroende inte är immuna mot angrepp riktade mot människor.

Vad är kodsigneringscertifikat och varför spelar de roll?

När du laddar ned programvara kontrollerar ditt operativsystem ofta om den bär en giltig digital signatur. Denna signatur, utfärdad av en betrodd certifikatutfärdare som DigiCert, är tänkt att bekräfta att programvaran kommer från en legitim källa och inte har manipulerats. Det är en central del av hur moderna operativsystem, från Windows till macOS, hjälper användare att skilja pålitlig programvara från skadliga imitatörer.

När angripare får tag på legitima kodsigneringscertifikat kan de dölja skadlig programvara i en mantel av legitimitet. Säkerhetsverktyg, varningar från operativsystemet och till och med vissa företagsskydd för slutpunkter kan som standard behandla signerad programvara som pålitlig. En användare som laddar ned vad som verkar vara en signerad, verifierad applikation har färre visuella signaler som varnar om att något är fel.

I det här fallet användes 27 stulna certifikat aktivt för att signera skadlig programvara innan DigiCert identifierade intrånget och återkallade dem. Återkallelse är rätt åtgärd, men det ger inte omedelbart skydd. Kontroller av återkallelse verkställs inte alltid i realtid, och vissa system eller konfigurationer kanske inte omedelbart känner igen att ett tidigare giltigt certifikat inte längre är pålitligt.

Hur attacken gick till: Social ingenjörskonst mot helpdesken

Den metod som användes för att få åtkomst är värd att uppmärksamma noga. Angriparna utnyttjade inte en opatchad programvarusårbarhet och tog sig inte heller in genom att brute-force:a sig igenom en brandvägg. De riktade sig mot människor. Två tekniska supportmedarbetare manipulerades att ge tillgång till backend-system – en teknik som i breda drag kallas social ingenjörskonst.

Helpdesk- och supportpersonal är ofta måltavlor på detta sätt eftersom deras arbete kräver att de är hjälpsamma och lyhörda. Angripare utger sig ofta för att vara kollegor, leverantörer eller brådskande interna förfrågningar för att pressa supportpersonal att kringgå normala verifieringsrutiner.

Denna attack följer ett väletablerat mönster som setts vid intrång hos stora organisationer i olika branscher. Lärdomen är inte att DigiCert var unikt oaktsamt. Det är att social ingenjörskonst förblir en av de mest effektiva attackvektorerna som finns, oavsett hur sofistikerade målets tekniska försvar är.

Vad detta innebär för dig

Om du laddar ned säkerhetsprogramvara, VPN-klienter eller någon applikation från internet är denna händelse direkt relevant för din personliga säkerhet.

För det första spelar det större roll än någonsin att enbart ladda ned programvara från officiella, primära källor. En certifikatsignatur är en användbar signal, men den är inte felfri, vilket detta intrång visar. Undvik att ladda ned programvara från tredjepartsappbutiker, spegelwebbplatser eller länkar som delas via sociala medier eller e-post om du inte självständigt har verifierat källan.

För det andra säkerställer uppdaterat operativsystem och säkerhetsprogramvara att återkallade certifikat känns igen som ogiltiga på din enhet. Listor över återkallade certifikat och OCSP-uppdateringar (Online Certificate Status Protocol) distribueras via system- och webbläsaruppdateringar. Ett föråldrat system kan fortsätta att lita på ett certifikat som redan har återkallats.

För det tredje är det, särskilt för användare av VPN eller säkerhetsprogramvara, värt att regelbundet se över var dina installationer kom ifrån och om leverantören har kommunicerat några säkerhetsmeddelanden. Seriösa leverantörer kommer att offentliggöra problem som påverkar deras programvarudistribution.

För organisationer förstärker denna händelse argumentet för att kräva multifaktorautentisering för all support- och administrativ personal, implementera strikta verifieringsrutiner innan någon åtkomst beviljas och granska vilka medarbetare som kan nå känsliga certifikathanteringssystem.

Konkreta åtgärder

Ladda ned programvara enbart från leverantörernas officiella webbplatser. Undvik tredjepartsaggregattjänster för nedladdning, även för välkända applikationer.
Håll ditt operativsystem och dina webbläsare uppdaterade. Återkallelseinformation levereras via uppdateringar. Ett föråldrat system kanske inte känner igen komprometterade certifikat.
Kontrollera leverantörers säkerhetsmeddelanden. Om du använder programvara signerad av DigiCert, besök leverantörens officiella säkerhetssida för att bekräfta om någon av dina installerade program påverkats.
Var skeptisk mot oväntade programuppdateringar. Om du får en oombedd uppmaning att uppdatera en applikation, verifiera via själva applikationen i stället för att klicka på en extern länk.
Organisationer bör granska sina certifikatförtroendelager. Säkerhetsteam bör se över vilka certifikat som är betrodda i deras miljöer och säkerställa att kontroll av återkallelse verkställs.

DigiCerts svar, inklusive återkallandet av de berörda certifikaten, är lämpligt och förväntat. Men den bredare lärdomen är att den förtroendeinfrastruktur som ligger till grund för programvarudistribution är lika beroende av mänskliga processer som tekniska. Att förstå varifrån det förtroendet kommer – och var det kan brytas ned – sätter dig i ett bättre läge att skydda dig själv.