Abo
  • Services:

Security: Malware mit legitimen Zertifikaten weit verbreitet

Aktuelle Forschungen werfen erneut ein schlechtes Licht auf den Umgang mit Zertifikaten. Fast 200 Malware-Proben sind mit legitimen digitalen Unterschriften ausgestattet gewesen. Damit kann die Schadsoftware Prüfungen durch Sicherheitssoftware bestehen.

Artikel veröffentlicht am ,
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber.
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber. (Bild: Kaspersky)

Nicht nur gefälschte digitale Unterschriften sind eine Gefahr, vielmehr scheint der Missbrauch legitimer Zertifikate weiter verbreitet als angenommen. Zu diesem Schluss kommt eine umfassende Untersuchung durch Forscher an der University of Maryland, die auf der ACM Conference on Computer and Communications Security (CCS) im texanischen Dallas vorgestellt wurde. Sie fanden heraus, das 189 Malware-Proben legitime Zertifikate enthielten und damit beispielsweise Windows User Account Control bei der Installation aushebeln können.

Stellenmarkt
  1. alanta health group GmbH, Hamburg
  2. Zentiva Pharma GmbH, Berlin

Nebenbei ergaben die Forschungen, dass Stuxnet weitaus früher im Umlauf war als bisher bekannt. Stuxnet gilt als einer der ersten Würmer, der mit gestohlenen validen Windows-Treiber-Zertifikaten unterschrieben war. Bekannt wurde Stuxnet im Jahr 2010, die von Jmicron und Realtek entwendeten Zertifikate stammen aus dem Jahr 2003. Auch der Trojaner Duqu 2.0 nutzte gestohlene Zertifikate von Foxconn für die Installation seiner Treiber.

Mangelnde Transparenz

Anders als bei Zertifikaten, die Webseiten legitimieren, gibt es für die digitalen Unterschriften für Software keine zentrale Datenbank, die durchforstet werden kann. Das machte den Forschern die Arbeit für ihre aktuelle Untersuchung schwer und unterstreicht deren Bedeutsamkeit. Besonders verbreitet sind demnach einmalige Zertifikate, die bereits für die Legitimierung anderer Software verwendet wurden. Offenbar haben deren Besitzer die Kontrolle über ihre privaten Schlüssel verloren, oftmals ohne es zu bemerken.

Ein etwas kleinerer Prozentsatz missbrauchter Zertifikate geht auf die Fahrlässigkeit der Aussteller zurück, die offenbar nicht genügend Sorgfalt bei der Verifizierung des Antragstellers haben walten lassen. Einige Zertifikate wurden auf den Namen großer Unternehmen nach einem Identitätsdiebstahl ausgestellt.

Um die Auswirkungen des Zertifikatsmissbrauchs zu unterstreichen, untersuchten die Forscher auch, welche Sicherheitssoftware sich nicht nur durch legitime, sondern auch durch nachweislich illegitime Zertifikate austricksen ließ. Keines der AV-Programme erkannte sämtliche von den Forschern präparierte Malware-Proben. Die Forscher führen dieses Ergebnis unter anderem auf eine unzureichende Implementierung von Microsofts Authenticode-Spezifizierung zurück.



Anzeige
Spiele-Angebote
  1. (-40%) 11,99€
  2. 4,99€
  3. 4,99€

jt 08. Nov 2017

Aus dem Trojaner ist jetzt korrekterweise ein Wurm geworden. Vielen Dank für den Hinweis...

Onsdag 07. Nov 2017

Soso, VirusTotal wurde also benutzt um zu ermitteln, daß es sich um Malware handelt. Da...


Folgen Sie uns
       


Cinebench R20 auf Threadripper 2950X ausprobiert

Cinebench R20 soll mit bis zu 256 Threads umgehen können.

Cinebench R20 auf Threadripper 2950X ausprobiert Video aufrufen
Energie: Warum Japan auf Wasserstoff setzt
Energie
Warum Japan auf Wasserstoff setzt

Saubere Luft und Unabhängigkeit von Ölimporten: Mit der Umstellung der Wirtschaft auf den Energieträger Wasserstoff will die japanische Regierung gleich zwei große politische Probleme lösen. Das Konzept erscheint attraktiv, hat aber auch entscheidende Nachteile.
Eine Analyse von Werner Pluta


    ANC-Kopfhörer im Test: Mit Ach und Krach
    ANC-Kopfhörer im Test
    Mit Ach und Krach

    Der neue ANC-Kopfhörer von Audio Technica ist in einem Bereich sogar besser als unsere derzeitigen Favoriten von Sony und Bose - ausgerechnet in der entscheidenden Disziplin schwächelt er aber.
    Ein Test von Ingo Pakalski

    1. Surface Headphones Microsofts erster ANC-Bluetooth-Kopfhörer kostet 380 Euro
    2. Sonys WH-1000XM3 Oberklasse-ANC-Kopfhörer hat Kälteprobleme
    3. Sony-Kopfhörer WH-1000XM3 im Test Eine Oase der Stille oder des puren Musikgenusses

    Linux: Wer sind die Debian-Bewerber?
    Linux
    Wer sind die Debian-Bewerber?

    Nach schleppendem Beginn stellen sich vier Kandidaten als Debian Project Leader zur Wahl. Zwei von ihnen kommen aus dem deutschsprachigen Raum und stellen Golem.de ihre Ziele vor.
    Von Fabian A. Scherschel

    1. Betriebssystem Debian-Entwickler tritt wegen veralteter Werkzeuge zurück
    2. Linux Debian-Update verhindert Start auf ARM-Geräten
    3. Apt Bug in Debian-Paketmanager feuert Debatte über HTTPS an

      •  /