Mit gestohlenen Zertifikaten von NVIDIA wird Malware unterschrieben. Lassen Sie nicht zu, dass es auch Ihnen passiert

21.03.2022 | Petra Alm

Vielleicht haben Sie von dem Hack des Unternehmens NVIDIA und dem Diebstahl seiner im Internet später veröffentlichten Daten gehört. Während dieses Hacks wurde auch ein Zertifikat für die Code Signierung mit dem dazugehörigen privaten Schlüssel gestohlen, mit welchem die Angreifer nun einen Schadcode signieren und Malware verbreiten. In diesem Artikel erfahren Sie, wie Sie einem solchen Sicherheitsvorfall effizient und einfach vorbeugen können.

Gestohlenes Zertifikat dient zur Verbreitung von Malware

Der bekannte Hardware-Hersteller NVIDIA wurde von einer sich als Lapsus$ nennende Gruppe gehackt und nach einer unerhörten Anforderung an Lösegeld haben die Hacker 1 Terabyte gestohlener Daten veröffentlicht. Die Benutzer beschädigt dieser Vorfall zwar nicht direkt, gestohlen wurde aber auch ein Zertifikat für die Signierung von Codes (Code Signing), mit welchem NVIDIA seine Treiber und Programme signiert hat.

Der neue Inhaber des Zertifikats und des privaten Schlüssels kann somit jeglichen Schadcode unter dem Namen von NVIDIA unterschreiben und die Malware gibt sich für eine von diesem Hersteller stammende Anwendung aus. Und das Windows System vertraut den Zertifikaten, obwohl sie bereits abgelaufen sind (falls die Signatur mit einem Zeitstempel aus dem Zeitraum, wenn das Zertifikat noch gültig war, versehen ist, hat das Ablaufdatum des Zertifikats auf die signierte Anwendung keinen Einfluss).

Die digitale Signatur der Malware erhöht die Vertrauenswürdigkeit des Schadcodes in dem System des Benutzers und erweckt den Eindruck, als ob die Anwendung tatsächlich von NVIDIA stammen würde (ermöglicht diese Authentifizierung). Und wenn Sie die schädliche Anwendung aufrufen, wird Ihr Computer mit einem Virus infiziert. Eine wirksame Prävention ist jedoch bekannt und wir widmen uns ihr in dem folgenden Abschnitt. Die Codes sollten wir aber nicht nur deshalb signieren, weil wir damit ihre Herkunft nachweisen können. Eine mit der Signatur versehene Anwendung kann nämlich auch nicht geändert werden. Sollte jemand die Anwendung ändern und in sie zum Beispiel einen Schadcode einfügen, wird die digitale Signatur ihre Gültigkeit verlieren. Dies stellt einen weiteren Aspekt in dem Schutz Ihrer Kunden dar.

Lösung für sicheres Signieren heißt Code Signing EV Zertifikat und Cloud

Zertifikate für die Code Signierung sollten gut abgesichert sein, sonst setzen Sie den guten Namen Ihrer Firma aufs Spiel. Ein gestohlenes Zertifikat würde bestimmt in falsche Hände fallen und es würde mit ihm Malware verbreitet.

Dem Inzident konnte der Hersteller aber einfach vorbeugen – NVIDIA müsste nur einen geeigneten Typ des Code Signing Zertifikats gewählt haben, welcher der Größe und Bedeutung der Firma entsprechen würde. In unserem Angebot finden Sie eine zweifache Lösung für sicheres Signieren - das Code Signing EV Zertifikat und die Plattform DigiCert ONE.

Das Code Signing EV Zertifikat ist auf einem Token gespeichert, welches vor dem Signieren an den USB-Anschluss Ihres Computers angeschlossen wird. Bei dem Signieren selbst muss zu dem Token ein Passwort eingegeben werden (zur Entsperrung des privaten Schlüssels) und falls das Passwort mehrmals falsch eingegeben wird, wird das Token blockiert und sein Inhalt gelöscht. Es ist ausgeschlossen, dass ein Angreifer ein genügend starkes Passwort bei einem der Versuche (insgesamt fünf) brechen würde – es gibt also keinen Weg, wie er das Zertifikat auf dem Token missbrauchen könnte (falls Sie das Passwort nicht auf dem Bildschirm aufgeklebt haben). Außerdem müsste für ihn das Token physisch zugänglich sein.

DigiCert ONE ist eine moderne Plattform mit welcher Sie in der Cloud signieren können. Das Zertifikat und den privaten Schlüssel müssen Sie dabei nicht im Computer lokal gespeichert haben, was deutlich sicherer ist. Diesem Thema werden wir uns bald weiter widmen, aber falls Sie schon jetzt mehr wissen möchten, kontaktieren Sie unseren Support.

Sind Sie an traditionelle Signierung von Anwendungen gewöhnt? Fürchten Sie nicht, es zu ändern!

Schon viele Jahre beweisen die Angreifer, dass Signieren von Anwendungen mit einem lokal gespeicherten Zertifikat nicht die richtige und sichere Vorgehensweise ist. Falls Sie Ihr Code Signing Zertifikat in dem Zertifikatsspeicher oder als eine PFX-Datei speichern, ändern Sie diese Angewohnheit augenblicklich. Mit SSLmarket können Sie eine sicherere Signierung von Anwendungen einfach erzielen. Beraten Sie sich mit uns und wir helfen Ihnen gerne.

Mit sichererem Signieren von Anwendungen und Codes schützen Sie nicht nur Ihren Namen, sondern auch Ihre Nutzer! Ein einmal verlorenes Vertrauen kann nur schwierig zurückgewonnen werden. Sichern Sie mit uns Ihre Anwendungen noch heute ab!

Quelle

  1. Bleepingcomputer: Malware now using NVIDIA's stolen code signing certificates

Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de