Thought Leadership
Angreifer haben Mitarbeiter im Kundensupport von DigiCert mit einer als Screenshot getarnten Schadsoftware infiziert.
Die Zertifizierungsstelle DigiCert hat eingeräumt, dass Angreifer im April mehrere EV-Code-Signing-Zertifikate aus dem internen Supportportal abgreifen konnten. EV steht für Extended Validation. Das ist die strengste Prüfstufe, die eine Zertifizierungsstelle bei der Ausstellung eines Zertifikats anwendet.
In einem ausführlichen Incident-Report schildert das Unternehmen, wie aus einem präparierten Chat-Anhang ein Zugriff auf Initialisierungscodes von Kundenbestellungen wurde. Insgesamt 60 Zertifikate hat DigiCert in der Folge zurückgezogen, 27 davon ließen sich direkt dem Angreifer zuordnen.
Schadsoftware als Screenshot getarnt
Der Angriff begann laut DigiCert am 2. April. Über einen Kunden-Chat-Kanal schickte der Angreifer eine ZIP-Datei an den Support, die als Screenshot deklariert war. Tatsächlich enthielt das Archiv eine ausführbare .scr-Datei. Dieses Format ist unter Windows eigentlich für Bildschirmschoner gedacht, wird aber genauso wie eine .exe ausgeführt. Auf dem Endgerät des Mitarbeiters lief die Schadsoftware an und kompromittierte das System.
Ein zweiter Rechner wurde ebenfalls infiziert, fiel intern aber erst am 14. April auf, also fast zwei Wochen nach dem ersten Vorfall. Auf einem der beiden Endpunkte sei die Prevention-Einstellung von Crowdstrike Falcon unter dem internen Standard gewesen, sodass der Payload zunächst durchlief. Auf dem zweiten Endpunkt sei der Crowdstrike-Sensor schlicht nicht oder nur eingeschränkt aktiv gewesen, weshalb dort gar keine Erkennung griff.
Vom Support-Account ins Kundenkonto
Über die kompromittierten Systeme gelangten die Angreifer in das interne Supportportal. Authentifizierte Support-Analysten können sich dort in einer eingeschränkten Funktion in Kundenkonten hineinversetzen, um deren Sicht zu sehen. Verwalten oder Bestellungen anlegen lässt sich darüber nicht. Die Funktion erlaubt allerdings den Blick auf Initialisierungscodes für offene Code-Signing-Bestellungen.
Genau das wurde DigiCert zum Verhängnis. „Der Besitz eines Initialisierungscodes in Kombination mit einer freigegebenen Bestellung reicht aus, um das resultierende Zertifikat zu beziehen“, schreibt das Unternehmen. Da der Angreifer beide Bausteine für eine Reihe bereits validierter Bestellungen einsehen konnte, ließ er sich daraus EV-Code-Signing-Zertifikate über mehrere Kundenkonten und CAs ausstellen.
Zhong Stealer auf gestohlenen Zertifikaten
Bis zum 17. April hatte DigiCert nach eigenen Angaben alle potenziell betroffenen Zertifikate gesperrt und die zugehörigen offenen Bestellungen storniert. Von den 60 widerrufenen Zertifikaten gelten 27 als direkt vom Angreifer ausgestellt. Elf davon waren bereits vorher von Sicherheitsforschern und der Community gemeldet worden, weil sie zur Signatur der Malware-Familie Zhong Stealer eingesetzt wurden. Mit gültigen EV-Signaturen lassen sich Hürden wie Microsofts SmartScreen umgehen, was den Wert solcher Zertifikate für Malware-Entwickler erklärt.
Hinweise auf einen weitergehenden Zugriff hat DigiCert bislang nicht gefunden. Andere interne Systeme abseits der Initialisierungscodes seien laut Untersuchung nicht missbraucht worden.
MFA-Pflicht und gefilterte Anhänge
Als Reaktion zieht DigiCert mehrere Konsequenzen. Administrative Workflows sollen künftig durchgängig per Multifaktor-Authentifizierung abgesichert werden. Der Zugriff auf Initialisierungscodes über die Proxy-Funktion im Supportportal wird unterbunden. Außerdem schränkt das Unternehmen die im Support-Chat sowie in Salesforce-Tickets erlaubten Dateitypen ein, sodass etwa .scr-Dateien dort gar nicht mehr ankommen sollten. Schließlich soll das Logging an mehreren Stellen erweitert werden, um vergleichbare Vorfälle früher zu erkennen.
