Kommentar

AnyDesk Vorfall: Maschinenidentitäten widerrufen

Malware
LinkedInXingPocketWhatsAppFlipboard

Anfang Februar wurde bekannt, dass der deutsche Remote Software-Anbieter AnyDesk Opfer eines Cyberangriffs wurde. Betroffen waren auch zahlreiche Sicherheitszertifikate.

Inzwischen haben die Verantwortlichen alle sicherheitsrelevanten Zertifikate, also Maschinenidentitäten widerrufen und die betroffenen Systeme repariert oder ersetzt.

Anzeige

Die Angreifer könnten nach dem Sicherheitsvorfall versuchen, einen One-to-Many-Angriff durchzuführen. Sie nutzen die Remote-Anwendung als Ausgangspunkt, um deren Kunden und Partner zu kompromittieren, indem sie auf Code Signing-Zertifikate abzielen. Code Signing-Zertifikate sind sehr leistungsfähige Maschinenidentitäten – wenn eine Software mit einer solchen gültigen Identität signiert ist, teilt sie anderen Maschinen mit, dass sie vertrauenswürdig ist, so dass ein Angreifer Malware versenden kann, die automatisch als sicher ausgeführt wird.  Damit erhalten die Angreifer im Grunde einen Schlüssel, mit dem sie durch die Vordertür eindringen können.

Angreifer sind in der Vergangenheit bereits in die Entwicklungsumgebung von ähnlicher Software eingedrungen, um bösartigen Code einzuschleusen. Problem ist, dass er signiert war, so dass die Malware von Tausenden von Unternehmen auf der ganzen Welt verschickt wurde. Darüber hinaus wurden beim Angriff von NVIDIA im Jahr 2022 gestohlene Code-Signatur-Zertifikate nur wenige Tage nach dem ersten Angriff verwendet, um Unternehmen anzugreifen.

Dies ist nicht nur ein Problem für Hersteller und Softwareanbieter – jedes Unternehmen ist heute ein Softwareunternehmen, Banken, Regierungen, Einzelhändler, wir alle sind auf Software angewiesen, die von Natur aus auf Code Signing beruht. Es ist dringend notwendig, dass alle Unternehmen dies besser verstehen, denn immer wieder haben Entwickler bewiesen, dass sie nicht darauf vorbereitet sind, Code Signing vor Angriffen zu schützen. Wenn sie gestohlen werden, ist das eine totale Gefährdung des Unternehmens. Im Grunde genommen müssen Experten nun davon ausgehen, dass die gesamte Kette durchbrochen wurde und entsprechend reagieren.


Kevin

Bocek

Venafi -

VP Security Strategy & Threat Intelligence

Anzeige

Artikel zu diesem Thema

Cyber-Spionage
10. November 2023
TLS-Spionage: Jabber fühlte die Macht einer Maschinenidentität
Malware
13. Juli 2023
100 schädliche Treiber mit legitimen digitalen Zertifikaten entdeckt

Weitere Artikel

MDR: Die Argusaugen der Cybersicherheit
Täglich mehr als zwei kritische Cybervorfälle in Unternehmen
SOAR-Integration in das UEM-Ökosystem
Rekordhoch bei Denial-of-Service-Schwachstellen
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.