Bedrohungsakteure missbrauchen Code-Signing-Zertifikate von Emsisoft

Hacker

Am 15. Februar gab der australische Antivirenhersteller Emsisoft bekannt, dass ein Sicherheitsvorfall auftrat, bei dem ein gefälschtes Code-Signatur-Zertifikat verwendet wurde, um einen gezielten Angriff auf ein Unternehmen zu verschleiern.

Das Ziel des Angreifers war es, die betroffene Organisation dazu zu bringen, eine Anwendung zuzulassen, die der Bedrohungsakteur installiert hatte und nutzen wollte, indem er deren Erkennung als False-Positive erscheinen ließ. Der Angriff schlug fehl, die Antivirensoftware erkannte und blockierte ihn. Die Methode, mit der der anfängliche Zugang erlangt wurde, ist bislang noch unklar, aber höchstwahrscheinlich wurde entweder ein Brute-Force-Angriff auf RDP oder die Verwendung kompromittierter Anmeldeinformationen durchgeführt.

Anzeige

Spoofing ist schon lange ein Problem, allerdings eher im Zusammenhang mit Website-Spoofing und in Verbindung mit Phishing. Es ist daher interessant, dass derselbe Ansatz, nämlich einen Buchstaben zu ändern, auch auf Code-Signing-Maschinenidentitäten angewendet wird. Die Tatsache, dass sich Bedrohungsakteure mit gefälschten Code-Signing-Zertifikaten als Unternehmen ausgeben, ist bekannt. Bedrohungsakteure wissen, dass der vertrauenswürdige Zugriff auf das System eines Unternehmens über gefälschte Maschinenidentitäten so etwas wie eine digitale Eingangstür ist. In diesem Fall wurde die gefälschte Identität erkannt und markiert, hätte aber leicht übersehen werden können.

Es ist für Security-Abteilungen schwieriger denn je, Entscheidungen darüber zu treffen, was als vertrauenswürdig eingestuft werden kann und was nicht – insbesondere angesichts der Geschwindigkeit von Software Development-Umgebungen. Da die Anzahl der Maschinenidentitäten in einem Unternehmen exponentiell ansteigt, benötigen sie eine Steuerungsebene, um die Verwaltung der Maschinenidentitäten zu automatisieren. Dies bietet den IT-Sicherheitsfachleuten die Transparenz, Konsistenz und Zuverlässigkeit, die sie benötigen, um ihre Maschinenidentitäten effektiv zu verwalten und bösartige Akteure daran zu hindern, sich einen Zugang zu erschleichen. Mehr lesen Sie hier:

Anzeige

Kevin

Bocek

VP Security Strategy & Threat Intelligence

Venafi

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.