close notice<\/p>\n
\n This article is also available in It was translated with technical assistance and editorially reviewed before publication.\n <\/p>\n \n Don\u2019t show this again.\n<\/p>\n Die Zertifizierungsstelle DigiCert hat im April mehrere Zertifikate zur Signierung von Programmen (\u201eCode Signing Certificate\u201c) an Malware-Autoren ausgegeben. Diese hatten zuvor Kundendienstmitarbeiter bei DigiCert mit Schadsoftware angegriffen und deren Rechner \u00fcbernommen. Weil verschiedene Schutzma\u00dfnahmen versagten, erlangten die Kriminellen Zugriff auf ein gesch\u00fctztes Kundenportal \u2013 inklusive aller notwendigen Informationen, um die Zertifikate abzurufen.<\/p>\n Weiterlesen nach der Anzeige<\/p>\n Hinter den Angreifern steckt wohl die Gruppierung, die f\u00fcr den \u201eZhong Stealer\u201c verantwortlich ist. Die Gruppe spezialisiert sich auf Attacken gegen Kundendienstler. Sie infizierte zwei PCs von DigiCert-Mitarbeitern und konnte so auf eine Funktion zugreifen, die den Kundenzugang im DigiCert-Portal simuliert. Dort lagen die Initialisierungs-Codes f\u00fcr Zertifikate bereit, die \u2013 zusammen mit einem Hardware-Token und einer entsprechenden Software beim Kunden \u2013 nicht nur den Abruf der Zertifikate, sondern auch des zugeh\u00f6rigen Schl\u00fcsselmaterials erm\u00f6glichen.<\/p>\n Die Angreifer kaperten auf diese Art insgesamt 27 Zertifikate und nutzten diese, um Malware zu signieren und somit an Windows\u2018 Smart Screen vorbeizuschleusen. Bei internen Ermittlungen<\/a> fand DigiCert 33 weitere Zertifikate und verschiedene verd\u00e4chtige Bestellungen und zog sie innerhalb von 24 Stunden nach Bekanntwerden zur\u00fcck.<\/p>\n In der Ursachenanalyse identifiziert DigiCert gleich mehrere unzureichende Schutzma\u00dfnahmen: So war auf einem der beiden kompromittierten Rechner offenbar gar kein CrowdStrike-Sensor installiert \u2013 dort tummelten die Kriminellen sich zehn Tage lang. Auf dem zweiten Rechner gab es zwar einen Alarm, die Malware lief aber trotzdem. Konzeptionelle L\u00fccken in der Risikoanalyse f\u00fcr Zertifikats-Initalisierungscodes erlaubten den Abruf der wertvollen Zertifikate und das Salesforce-Kundenportal leistete dem Unternehmen ebenfalls einen B\u00e4rendienst. Es leitete die Schadsoftware, eine .scr-Datei im ZIP-Format, blindlings an die Support-Mitarbeiter weiter und bot so einen idealen N\u00e4hrboden.<\/p>\n Auch EU-Unternehmen betroffen<\/p>\n Unter den betroffenen Kunden sind die PC-Hersteller Shuttle, Lenovo und Palit, aber auch Tencent, der Betreiber des Videodienstes TikTok und das Leipziger Security-Unternehmen DigiFors. Insgesamt umfasst die von DigiCert gemeldete Liste 61 Zertifikate von Organisationen in dreizehn L\u00e4ndern, \u00fcberwiegend in Asien. Doch auch EU-Unternehmen sind betroffen: Neben einer deutschen GmbH sind je eine Firma aus der Schweiz, Frankreich, Polen und Portugal betroffen.<\/p>\n Weiteres Ungemach erwartete DigiCert zur Walpurgisnacht von Microsoft. Der Redmonder Softwarekonzern hatte am 30. April mit einem Signaturupdate der hauseigenen Antivirusl\u00f6sung Defender eine Erkennung f\u00fcr die Schadsoftware \u201eTrojan:Win32\/Cerdigent.A!dha\u201c hinzugef\u00fcgt, die unter bestimmten Bedingungen zwei Wurzelzertifikate der CA (\u201eDigiCert Assured ID Root CA\u201c und \u201eDigiCert Trusted Root G4\u201c) kurzerhand aus dem Windows-Trust-Store entfernte. Somit konnten auf betroffenen Windows-PCs keine TLS-Verbindungen zu Webseiten mit DigiCert-Zertifikaten aufgebaut werden.<\/p>\n Weiterlesen nach der Anzeige<\/p>\n Doch ob ein Zusammenhang zwischen beiden Vorkommnissen besteht, bleibt zweifelhaft: Zwischen dem letzten zur\u00fcckgezogenen Malware-Zertifikat und dem fehlerhaften Signatur-Update liegen fast zwei Wochen und in der aktuellen Liste der von Microsoft akzeptierten Wurzelzertifikate<\/a> sind die Zertifikate weiterhin enthalten.<\/p>\n DigiCert ist nicht das erste Mal in zertifikatsbedingten Schwierigkeiten: Im vorvorigen Jahr sah das Unternehmen sich mit einer Klageandrohung eines Kunden<\/a> konfrontiert. Dieser weigerte sich, kurzfristig seine wegen Formfehlern zur\u00fcckgezogenen Zertifikate auszutauschen. Es ist in guter Gesellschaft: Die Bundesdruckerei-Tochter D-Trust hatte aus demselben Grund \u00fcber die Osterfeiertage<\/a> tausenden Admins Sonderschichten beschert.<\/p>\n
\n English<\/a>.<\/p>\n