• IT-Karriere:
  • Services:

Security: Malware mit legitimen Zertifikaten weit verbreitet

Aktuelle Forschungen werfen erneut ein schlechtes Licht auf den Umgang mit Zertifikaten. Fast 200 Malware-Proben sind mit legitimen digitalen Unterschriften ausgestattet gewesen. Damit kann die Schadsoftware Prüfungen durch Sicherheitssoftware bestehen.

Artikel veröffentlicht am ,
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber.
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber. (Bild: Kaspersky)

Nicht nur gefälschte digitale Unterschriften sind eine Gefahr, vielmehr scheint der Missbrauch legitimer Zertifikate weiter verbreitet als angenommen. Zu diesem Schluss kommt eine umfassende Untersuchung durch Forscher an der University of Maryland, die auf der ACM Conference on Computer and Communications Security (CCS) im texanischen Dallas vorgestellt wurde. Sie fanden heraus, das 189 Malware-Proben legitime Zertifikate enthielten und damit beispielsweise Windows User Account Control bei der Installation aushebeln können.

Stellenmarkt
  1. Alarm IT Factory GmbH, Stuttgart
  2. Statistisches Bundesamt, Wiesbaden

Nebenbei ergaben die Forschungen, dass Stuxnet weitaus früher im Umlauf war als bisher bekannt. Stuxnet gilt als einer der ersten Würmer, der mit gestohlenen validen Windows-Treiber-Zertifikaten unterschrieben war. Bekannt wurde Stuxnet im Jahr 2010, die von Jmicron und Realtek entwendeten Zertifikate stammen aus dem Jahr 2003. Auch der Trojaner Duqu 2.0 nutzte gestohlene Zertifikate von Foxconn für die Installation seiner Treiber.

Mangelnde Transparenz

Anders als bei Zertifikaten, die Webseiten legitimieren, gibt es für die digitalen Unterschriften für Software keine zentrale Datenbank, die durchforstet werden kann. Das machte den Forschern die Arbeit für ihre aktuelle Untersuchung schwer und unterstreicht deren Bedeutsamkeit. Besonders verbreitet sind demnach einmalige Zertifikate, die bereits für die Legitimierung anderer Software verwendet wurden. Offenbar haben deren Besitzer die Kontrolle über ihre privaten Schlüssel verloren, oftmals ohne es zu bemerken.

Ein etwas kleinerer Prozentsatz missbrauchter Zertifikate geht auf die Fahrlässigkeit der Aussteller zurück, die offenbar nicht genügend Sorgfalt bei der Verifizierung des Antragstellers haben walten lassen. Einige Zertifikate wurden auf den Namen großer Unternehmen nach einem Identitätsdiebstahl ausgestellt.

Um die Auswirkungen des Zertifikatsmissbrauchs zu unterstreichen, untersuchten die Forscher auch, welche Sicherheitssoftware sich nicht nur durch legitime, sondern auch durch nachweislich illegitime Zertifikate austricksen ließ. Keines der AV-Programme erkannte sämtliche von den Forschern präparierte Malware-Proben. Die Forscher führen dieses Ergebnis unter anderem auf eine unzureichende Implementierung von Microsofts Authenticode-Spezifizierung zurück.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 31,99€
  2. (-80%) 2,99€

jt 08. Nov 2017

Aus dem Trojaner ist jetzt korrekterweise ein Wurm geworden. Vielen Dank für den Hinweis...

Onsdag 07. Nov 2017

Soso, VirusTotal wurde also benutzt um zu ermitteln, daß es sich um Malware handelt. Da...


Folgen Sie uns
       


Dell Latitude 7220 - Test

Das Latitude 7220 ist so stabil wie es aussieht: Es hält Wasser, Blumenerde und sogar mehrere Stürze hintereinander aus.

Dell Latitude 7220 - Test Video aufrufen
Golem on Edge: Wo Nachbarn alles teilen - auch das Internet
Golem on Edge
Wo Nachbarn alles teilen - auch das Internet

Mehr schlecht als recht arbeiten zu können und auch nur dann, wenn die Nachbarn nicht telefonieren - das war keine Dauerlösung. Wie ich endlich Internet in meine Datsche bekommen habe.
Eine Kolumne von Sebastian Grüner

  1. Digitalisierung Krankschreibung per Videosprechstunde wird möglich
  2. Golem on Edge Homeoffice im Horrorland
  3. Anzeige Die voll digitalisierte Kaserne der Zukunft

Indiegames-Rundschau: Stadtbaukasten trifft Tentakelmonster
Indiegames-Rundschau
Stadtbaukasten trifft Tentakelmonster

Traumstädte bauen in Townscaper, Menschen fressen in Carrion und Bilderbuchgrusel in Creaks: Die neuen Indiegames bieten viel Abwechslung.
Von Rainer Sigl

  1. Indiegames-Rundschau Licht aus, Horror an
  2. Indiegames-Neuheiten Der Saturnmond als galaktische Baustelle
  3. Indiegames-Rundschau Dunkle Seelen im Heavy-Metal-Rausch

Threat-Actor-Expertin: Militärisch, stoisch, kontrolliert
Threat-Actor-Expertin
Militärisch, stoisch, kontrolliert

Sandra Joyces Fachgebiet sind Malware-Attacken. Sie ist Threat-Actor-Expertin - ein Job mit viel Stress und Verantwortung. Wenn sie eine Attacke einem Land zuschreibt, sollte sie besser sicher sein.
Ein Porträt von Maja Hoock

  1. Emotet Die Schadsoftware Trickbot warnt vor sich selbst
  2. Loveletter Autor des I-love-you-Virus wollte kostenlos surfen
  3. DNS Gehackte Router zeigen Coronavirus-Warnung mit Schadsoftware

    •  /