Security: Malware mit legitimen Zertifikaten weit verbreitet

Aktuelle Forschungen werfen erneut ein schlechtes Licht auf den Umgang mit Zertifikaten. Fast 200 Malware-Proben sind mit legitimen digitalen Unterschriften ausgestattet gewesen. Damit kann die Schadsoftware Prüfungen durch Sicherheitssoftware bestehen.

Artikel veröffentlicht am ,
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber.
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber. (Bild: Kaspersky)

Nicht nur gefälschte digitale Unterschriften sind eine Gefahr, vielmehr scheint der Missbrauch legitimer Zertifikate weiter verbreitet als angenommen. Zu diesem Schluss kommt eine umfassende Untersuchung durch Forscher an der University of Maryland, die auf der ACM Conference on Computer and Communications Security (CCS) im texanischen Dallas vorgestellt wurde. Sie fanden heraus, das 189 Malware-Proben legitime Zertifikate enthielten und damit beispielsweise Windows User Account Control bei der Installation aushebeln können.

Stellenmarkt
  1. Software Developer für Anwendungen und Schnittstellen (m/w / divers)
    Continental AG, Villingen
  2. (Junior) IT Business Partner / Demand Manager - Sales Units (m/w/d)
    Jungheinrich AG, Hamburg
Detailsuche

Nebenbei ergaben die Forschungen, dass Stuxnet weitaus früher im Umlauf war als bisher bekannt. Stuxnet gilt als einer der ersten Würmer, der mit gestohlenen validen Windows-Treiber-Zertifikaten unterschrieben war. Bekannt wurde Stuxnet im Jahr 2010, die von Jmicron und Realtek entwendeten Zertifikate stammen aus dem Jahr 2003. Auch der Trojaner Duqu 2.0 nutzte gestohlene Zertifikate von Foxconn für die Installation seiner Treiber.

Mangelnde Transparenz

Anders als bei Zertifikaten, die Webseiten legitimieren, gibt es für die digitalen Unterschriften für Software keine zentrale Datenbank, die durchforstet werden kann. Das machte den Forschern die Arbeit für ihre aktuelle Untersuchung schwer und unterstreicht deren Bedeutsamkeit. Besonders verbreitet sind demnach einmalige Zertifikate, die bereits für die Legitimierung anderer Software verwendet wurden. Offenbar haben deren Besitzer die Kontrolle über ihre privaten Schlüssel verloren, oftmals ohne es zu bemerken.

Ein etwas kleinerer Prozentsatz missbrauchter Zertifikate geht auf die Fahrlässigkeit der Aussteller zurück, die offenbar nicht genügend Sorgfalt bei der Verifizierung des Antragstellers haben walten lassen. Einige Zertifikate wurden auf den Namen großer Unternehmen nach einem Identitätsdiebstahl ausgestellt.

Golem Karrierewelt
  1. Apache Kafka Grundlagen: virtueller Zwei-Tage-Workshop
    22./23.11.2022, Virtuell
  2. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    08.12.2022, Virtuell
Weitere IT-Trainings

Um die Auswirkungen des Zertifikatsmissbrauchs zu unterstreichen, untersuchten die Forscher auch, welche Sicherheitssoftware sich nicht nur durch legitime, sondern auch durch nachweislich illegitime Zertifikate austricksen ließ. Keines der AV-Programme erkannte sämtliche von den Forschern präparierte Malware-Proben. Die Forscher führen dieses Ergebnis unter anderem auf eine unzureichende Implementierung von Microsofts Authenticode-Spezifizierung zurück.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Potential Motors
Winziges E-Offroad-Wohnmobil mit 450 kW vorgestellt

Potential Motors hat mit dem Adventure 1 ein kleines Offroad-Wohnmobil mit E-Motoren vorgestellt, die insgesamt 450 kW Leistung erbringen.

Potential Motors: Winziges E-Offroad-Wohnmobil mit 450 kW vorgestellt
Artikel
  1. Smart-Home-Hub: Ikea Dirigera für rund 60 Euro gelistet
    Smart-Home-Hub
    Ikea Dirigera für rund 60 Euro gelistet

    Ikea hat das Smart-Home-Hub Dirigera auf seiner Website angekündigt. Das Gerät ist für den Matter-Standard geeignet.

  2. Amazon: James-Bond-Filme kommen zu Prime Video
    Amazon
    James-Bond-Filme kommen zu Prime Video

    Noch in dieser Woche nimmt Amazon die meisten James-Bond-Filme in das Abo von Prime Video auf. Die jüngste Bond-Produktion ist nicht dabei.

  3. Minority Report wird 20 Jahre alt: Die Zukunft wird immer gegenwärtiger
    Minority Report wird 20 Jahre alt
    Die Zukunft wird immer gegenwärtiger

    Minority Report zog aus, die Zukunft des Jahres 2054 vorherzusagen. 20 Jahre später scheint so manches noch prophetischer.
    Von Peter Osteried

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindFactory (u. a. PowerColor RX 6700 XT Hellhound 489€, ASRock RX 6600 XT Challenger D OC 388€) • Kingston NV2 1TB (PS5) 72,99€ • be quiet! Silent Loop 2 240 99,90€ • Star Wars: Squadrons PS4a 5€ • Acer 24"-FHD/165 Hz 149€ + Cashback • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /