DigiCert widerruft Zertifikate nach Angriff auf Support-Portal

Zusammenfassung

Die Zertifizierungsstelle DigiCert hat eigenen Angaben zufolge in der vergangenen Woche bekannt gegeben, dass nach einem Cyberangriff betrügerisch über das interne Support-Portal erlangte Zertifikate widerrufen wurden. Laut einem ausführlichen Bericht des Unternehmens ereignete sich der Vorfall am 2. April, als ein Angreifer das Support-Team mit einer schädlichen Datei ins Visier nahm, die über einen Kunden-Chat-Kanal verbreitet und als Screenshot getarnt war. Die Schadsoftware infizierte zwei Endgeräte: Eine Infektion wurde am 3. April erkannt, die zweite erst am 14. April. Die späte Entdeckung der zweiten Infektion führt DigiCert auf fehlerhaft arbeitende Sicherheitslösungen auf dem betroffenen Gerät zurück. Von dem infizierten System aus gelangten die Angreifer in das interne Support-Portal und nutzten dort eine eingeschränkte Zugriffsfunktion, um EV-Code-Signing-Zertifikate zu erlangen. Bis zum 17. April identifizierte und widerrief das Unternehmen 60 mit dem Vorfall verbundene Zertifikate, darunter 27 ausdrücklich dem Angreifer zugeordnete. Elf davon wurden nach Angaben von DigiCert von der Community gemeldet und zur Signierung der Schadsoftware-Familie Zhong Stealer verwendet.

Möglich wurde der Zugriff durch eine Funktion des Support-Portals: Authentifizierte Support-Analysten von DigiCert können sich per Proxy in Kundenkonten einklinken und erhalten dadurch Zugang zu bestimmten Funktionen, darunter die Initialisierungscodes für ausstehende Code-Signing-Bestellungen.

„Der Besitz eines Initialisierungscodes ist in Verbindung mit einer genehmigten Bestellung ausreichend, um das daraus resultierende Zertifikat zu erhalten. Da der Angreifer für eine begrenzte Zahl genehmigter Bestellungen beide Informationen erlangen konnte, war er in der Lage, EV-Code-Signing-Zertifikate über eine Reihe von Kundenkonten und Zertifizierungsstellen hinweg zu beziehen", erklärt DigiCert.

Bis zum 17. April widerrief das Unternehmen 60 mit dem Vorfall verbundene Zertifikate, davon 27 ausdrücklich dem Angreifer zugeordnete. Elf dieser Zertifikate wurden nach Unternehmensangaben von der Community gemeldet und dienten zur Signierung der Schadsoftware-Familie Zhong Stealer.

Bei der Untersuchung fand das Unternehmen nach eigenen Angaben keine Hinweise darauf, dass der Angreifer über die Code-Signing-Initialisierungscodes innerhalb bestimmter Konten hinaus weitere interne Systeme missbraucht hätte. Alle potenziell mit der Aktivität verbundenen Zertifikate seien bis zum 17. April widerrufen und ausstehende Bestellungen storniert worden, um den Zugang der Angreifer zu schließen.

Zusätzlich verschärfte DigiCert seine Sicherheits- und Zugriffskontrollen. Künftig wird für administrative Abläufe eine Mehr-Faktor-Authentifizierung erzwungen, der Zugriff auf Initialisierungscodes durch per Proxy agierende Support-Nutzer unterbunden und die Auswahl der Dateitypen eingeschränkt, die über den Support-Chat und als Anhänge in Salesforce-Fällen übermittelt werden können. Auch die Protokollierung wurde verbessert.

DigiCert widerruft Zertifikate nach Angriff auf Support-Portal

Ähnliche Artikel

Neueste Artikel