SchwachstellenHackerangriffeCyberkriminalität

DigiCert-Hack: Zertifizierungsstelle widerruft 60 missbrauchte Code-Signing-Zertifikate

Von CyberDeutsch Redaktion
DigiCert-Hack: Zertifizierungsstelle widerruft 60 missbrauchte Code-Signing-Zertifikate
Zusammenfassung

Der Zertifizierungsdienstleister DigiCert hat nach einem erfolgreichen Cyberangriff auf sein internes Support-Portal 60 digitale Zertifikate widerrufen. Der Vorfall ereignete sich im April, als Angreifer über einen Malware-bestückten Chat-Kanal ein Analyst-System infiltrierten und auf die Support-Infrastruktur zugreifen konnten. Durch die Kompromittierung gelang es den Hackern, sogenannte EV Code Signing-Zertifikate unberechtigt auszustellen – eine besonders kritische Kategorie, da solche Zertifikate zur Legitimierung von Software verwendet werden. Elf dieser Zertifikate wurden tatsächlich zur Signatur von Malware missbraucht. Für Deutschland und die EU ist dieser Vorfall erheblich, da DigiCert ein weltweit anerkannter Zertifizierungsanbieter ist und viele deutsche Unternehmen, Behörden sowie kritische Infrastrukturen auf dessen digitale Zertifikate angewiesen sind. Der Angriff verdeutlicht die Gefährdung auch bei vermeintlich sicheren Dienstleistern und könnte das Vertrauen in die digitale Sicherheitsinfrastruktur untergraben. DigiCert hat inzwischen Sicherheitsmaßnahmen implementiert, doch die Verwendung unberechtigt ausgestellter Zertifikate könnte Konsequenzen für eine Vielzahl deutscher Organisationen haben.

Der Angriff auf DigiCert offenbart eine Schwachstelle in der Supply Chain der digitalen Infrastruktur weltweit. Am 2. April wurde das Unternehmen gezielt angegriffen, als ein Bedrohungsakteur eine Schadsoftware über einen Customer-Chat-Kanal einschleuste – getarnt als Screenshot. Die erste infizierte Systemkomponente wurde bereits am 3. April erkannt, eine zweite erst zwei Wochen später am 14. April. DigiCert führt diese verzögerte Entdeckung auf fehlerhafte Sicherheitslösungen zurück, die auf dem betroffenen Endgerät ausgeführt wurden.

Das eigentliche Problem liegt in der privilegierten Zugriffsvergabe innerhalb des Support-Systems. Authentifizierte Support-Analysten können sich in Kundenkonten einloggen und dort auf sensitive Funktionen zugreifen – einschließlich Initialisierungscodes für ausstehende Code-Signing-Zertifikatanforderungen. Die Hacker nutzen diese Funktion aus: Mit einem Initialisierungscode und einer genehmigten Bestellung in der Hand war es ihnen möglich, gültige EV-Code-Signing-Zertifikate für verschiedene Kundenkonten zu erlangen.

Besonders problematisch ist die nachgelagerte Missbrauchsanalyse. Von den 60 widerrufenen Zertifikaten waren 27 direkt mit der Angreifer-Aktivität verbunden. 11 dieser Zertifikate wurden zur Signierung der Zhong-Stealer-Malware genutzt – ein Trojaner, der Banking-Zugangsdaten und sensible Informationen stiehlt. Dies ermöglichte es den Angreifern, ihre Malware als legitime Software zu präsentieren und so auch Schutzmaßnahmen zu umgehen.

Als Reaktion hat DigiCert umfangreiche Sicherheitsmaßnahmen implementiert: Multi-Faktor-Authentifizierung für administrative Workflows, Beschränkung des Zugriffs auf Initialisierungscodes für Proxy-Benutzer, Einschränkung der Dateitypen im Support-Chat und verbesserte Logging-Funktionen. Das Unternehmen betont, dass keine Hinweise auf Missbrauch anderer interner Systeme vorliegen.

Für deutsche Unternehmen bedeutet der Vorfall eine wichtige Lektion: Code-Signing-Zertifikate sind kritische Vertrauenselemente in der Softwareverteilung. Ein Missbrauch kann zu massiven Sicherheitsrisiken führen. Organisationen sollten ihre Verifikationsprozesse überprüfen und auf Zertifikatswarnungen des BSI achten.

Ähnliche Artikel