Security: Malware mit legitimen Zertifikaten weit verbreitet

Aktuelle Forschungen werfen erneut ein schlechtes Licht auf den Umgang mit Zertifikaten. Fast 200 Malware-Proben sind mit legitimen digitalen Unterschriften ausgestattet gewesen. Damit kann die Schadsoftware Prüfungen durch Sicherheitssoftware bestehen.

Artikel veröffentlicht am ,
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber.
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber. (Bild: Kaspersky)

Nicht nur gefälschte digitale Unterschriften sind eine Gefahr, vielmehr scheint der Missbrauch legitimer Zertifikate weiter verbreitet als angenommen. Zu diesem Schluss kommt eine umfassende Untersuchung durch Forscher an der University of Maryland, die auf der ACM Conference on Computer and Communications Security (CCS) im texanischen Dallas vorgestellt wurde. Sie fanden heraus, das 189 Malware-Proben legitime Zertifikate enthielten und damit beispielsweise Windows User Account Control bei der Installation aushebeln können.

Nebenbei ergaben die Forschungen, dass Stuxnet weitaus früher im Umlauf war als bisher bekannt. Stuxnet gilt als einer der ersten Würmer, der mit gestohlenen validen Windows-Treiber-Zertifikaten unterschrieben war. Bekannt wurde Stuxnet im Jahr 2010, die von Jmicron und Realtek entwendeten Zertifikate stammen aus dem Jahr 2003. Auch der Trojaner Duqu 2.0 nutzte gestohlene Zertifikate von Foxconn für die Installation seiner Treiber.

Mangelnde Transparenz

Anders als bei Zertifikaten, die Webseiten legitimieren, gibt es für die digitalen Unterschriften für Software keine zentrale Datenbank, die durchforstet werden kann. Das machte den Forschern die Arbeit für ihre aktuelle Untersuchung schwer und unterstreicht deren Bedeutsamkeit. Besonders verbreitet sind demnach einmalige Zertifikate, die bereits für die Legitimierung anderer Software verwendet wurden. Offenbar haben deren Besitzer die Kontrolle über ihre privaten Schlüssel verloren, oftmals ohne es zu bemerken.

Ein etwas kleinerer Prozentsatz missbrauchter Zertifikate geht auf die Fahrlässigkeit der Aussteller zurück, die offenbar nicht genügend Sorgfalt bei der Verifizierung des Antragstellers haben walten lassen. Einige Zertifikate wurden auf den Namen großer Unternehmen nach einem Identitätsdiebstahl ausgestellt.

Um die Auswirkungen des Zertifikatsmissbrauchs zu unterstreichen, untersuchten die Forscher auch, welche Sicherheitssoftware sich nicht nur durch legitime, sondern auch durch nachweislich illegitime Zertifikate austricksen ließ. Keines der AV-Programme erkannte sämtliche von den Forschern präparierte Malware-Proben. Die Forscher führen dieses Ergebnis unter anderem auf eine unzureichende Implementierung von Microsofts Authenticode-Spezifizierung zurück.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Raumfahrt
SpaceX stellt Anzug für Weltraumspaziergänge vor

In diesem Jahr sollen erstmals SpaceX-Astronauten einen Weltraumspaziergang unternehmen. Das US-Raumfahrtunternehmen hat einen Anzug entwickelt.

Raumfahrt: SpaceX stellt Anzug für Weltraumspaziergänge vor
Artikel
  1. John Sugar bei Apple TV+: Die Crime-Serie mit dem aufregendsten Twist seit langem
    John Sugar bei Apple TV+
    Die Crime-Serie mit dem aufregendsten Twist seit langem

    Die neue Serie John Sugar mit Colin Farrell bietet die krasseste Wendung, seit Bobby Ewing von den Toten zurückgekehrt ist. Achtung, Spoiler!
    Von Peter Osteried

  2. FTTH: M-net baut Glasfaser vom Keller bis in die Wohnung
    FTTH
    M-net baut Glasfaser vom Keller bis in die Wohnung

    Bei M-net wird der Glasfaser-Ausbau in den Wohnhäusern weitergeführt. FTTB reicht nicht mehr aus.

  3. KI-Handheld: Rabbit R1 funktioniert tatsächlich komplett auf Smartphone
    KI-Handheld
    Rabbit R1 funktioniert tatsächlich komplett auf Smartphone

    Trotz gegenteiliger Aussagen des CEO ist das KI-Gadget Rabbit R1 nichts weiter als eine App, wie ein neuer Test zeigt: Alle Funktionen laufen auf einem gewöhnlichen Smartphone.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Mailights: Neuer MM-Flyer mit Rabatten bis zu 60% • Logitech Gaming-Zubehör -51% • Ambilight zum Nachrüsten ab 109,99€ • MSI 32" 4K UHD 144Hz 719€ • Alternate: Sony Dualsense PS5-Controller 55,55€, Adata 32 GB DDR5-6400 119,90€ • Samsung 990 Evo 2TB 138,60€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /