Die IT-Sicherheitsexperten von F-Secure beschreiben in einem Blog-Eintrag im Detail, wie es dazu kommen konnte, dass per Spam verteilte Malware mit einem korrekten Zertifikat signiert wurde. In der Vergangenheit wurden hierzu zuvor für legitime Software-Entwickler ausgestellte Zertifikate gestohlen. Wahlweise wurden die Zertifikate auch auf dubiose beziehungsweise nichtssagende Ansprechpartner ausgestellt.

 

Im aktuellen Fall fanden die F-Secure-Experten jedoch Kontaktinformationen eines existierenden Dienstleistungsunternehmens.  Auf Nachfrage erklärten die Vertreter des Unternehmens gegenüber F-Secure, dass sie gar kein Code-Signing-Zertifikat beantragt haben. Es blieb also nur der Schluss, dass Dritte im Namen des Dienstleisters ein Zertifikat erhielten.

 

Wie sich nach einem Gespräch mit Comodo, der zuständigen Zertifikatsstelle (Certificate Authority, CA), herausstellte, überprüfte Comodo die Identität des im Antrag genannten Mitarbeiters des Dienstleisters per Telefon und E-Mail. Nachdem die Betrüger offenbar Zugriff auf den E-Mail-Account des Mitarbeiters hatten, konnte auf diesem Weg mit Comodo kommuniziert werden. Die Anrufe der CA landeten entweder beim falschen Kontakt oder waren voller Missverständnisse. Insofern brachte die telefonische Prüfung keinerlei Sicherheit, das Zertifikat wurde ausgestellt.

 

Die F-Secure-Mitarbeiter erfuhren außerdem, dass die betreffende Mitarbeiterin des Dienstleisters einen Anruf von Thawte, ebenfalls eine CA, in ähnlicher Sache erhielt. Offenbar versuchten die Cyber-Betrüger, das Zertifikat durch  verschiedene CAs ausstellen zu lassen. Im Fall von Thawte brachte der Anruf jedoch Klarheit und der Prozess wurde gestoppt.

 

In dem Blog-Beitrag kommt F-Secure zu dem Schluss, dass der momentan eingesetzte Prozess zum Ausstellen von Code-Signing-Zertifikaten fehleranfällig ist. Ein gehackter E-Mail-Account genügt, um unter falscher Flagge ein solches Zertifikat zu bekommen.

 

Comodo hat inzwischen reagiert und das ausgestellte Zertifikat zurück gerufen. Alle damit signierten Anwendungen werden daher als ungültig zurück gewiesen und nicht weiter ausgeführt.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.