Kommentar

AnyDesk Vorfall: Maschinenidentitäten widerrufen

Malware

Anfang Februar wurde bekannt, dass der deutsche Remote Software-Anbieter AnyDesk Opfer eines Cyberangriffs wurde. Betroffen waren auch zahlreiche Sicherheitszertifikate.

Inzwischen haben die Verantwortlichen alle sicherheitsrelevanten Zertifikate, also Maschinenidentitäten widerrufen und die betroffenen Systeme repariert oder ersetzt.

Anzeige

Die Angreifer könnten nach dem Sicherheitsvorfall versuchen, einen One-to-Many-Angriff durchzuführen. Sie nutzen die Remote-Anwendung als Ausgangspunkt, um deren Kunden und Partner zu kompromittieren, indem sie auf Code Signing-Zertifikate abzielen. Code Signing-Zertifikate sind sehr leistungsfähige Maschinenidentitäten – wenn eine Software mit einer solchen gültigen Identität signiert ist, teilt sie anderen Maschinen mit, dass sie vertrauenswürdig ist, so dass ein Angreifer Malware versenden kann, die automatisch als sicher ausgeführt wird.  Damit erhalten die Angreifer im Grunde einen Schlüssel, mit dem sie durch die Vordertür eindringen können.

Angreifer sind in der Vergangenheit bereits in die Entwicklungsumgebung von ähnlicher Software eingedrungen, um bösartigen Code einzuschleusen. Problem ist, dass er signiert war, so dass die Malware von Tausenden von Unternehmen auf der ganzen Welt verschickt wurde. Darüber hinaus wurden beim Angriff von NVIDIA im Jahr 2022 gestohlene Code-Signatur-Zertifikate nur wenige Tage nach dem ersten Angriff verwendet, um Unternehmen anzugreifen.

Dies ist nicht nur ein Problem für Hersteller und Softwareanbieter – jedes Unternehmen ist heute ein Softwareunternehmen, Banken, Regierungen, Einzelhändler, wir alle sind auf Software angewiesen, die von Natur aus auf Code Signing beruht. Es ist dringend notwendig, dass alle Unternehmen dies besser verstehen, denn immer wieder haben Entwickler bewiesen, dass sie nicht darauf vorbereitet sind, Code Signing vor Angriffen zu schützen. Wenn sie gestohlen werden, ist das eine totale Gefährdung des Unternehmens. Im Grunde genommen müssen Experten nun davon ausgehen, dass die gesamte Kette durchbrochen wurde und entsprechend reagieren.

Kevin Bocek

Venafi -

VP Security Strategy & Threat Intelligence

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.