Kaspersky: Anzahl gefälschter digitaler Zertifikate hat sich 2014 verdoppelt

Netzwerk-ManagementNetzwerkeSicherheitVirus
Kaspersky Lab (Bild: Kaspersky)

Die Datenbank des Sicherheitsunternehmens enthielt Ende vergangenen Jahres über 6000 nicht vertrauenswürdige Zertifikate. Um das Risiko eines per Zertifikattäuschung durchgeführten Angriffs zu verringern, empfiehlt Kaspersky unter anderem, von unbekannten Softwareanbietern und Zertifizierungsstellen signierte Programme generell zu blockieren.

Nach Erkenntnissen von Kaspersky Lab hat sich die Zahl nicht vertrauenswürdiger Zertifikate, die zur Signierung von Schadprogrammen verwendet werden, im Jahr 2014 gegenüber dem Vorjahr verdoppelt. Der Sicherheitsanbieter zählte Ende vergangenen Jahres über 6000 solcher nicht vertrauenswürdiger und gefährlicher Zertifikate. Kaspersky Lab empfiehlt Unternehmen und Systemadministratoren daher, digitalen Zertifikaten niemals uneingeschränkt zu vertrauen. Außerdem sollte die Ausführung signierter Dateien von der Signatur-Stärke abhängig gemacht werden.

Kaspersky: Anzahl gefälschter digitaler Zertifikate hat sich 2014 verdoppelt (Bild: Kaspersky)

“Virenschreiber stehlen und imitieren gültige Signaturen, um Nutzern und Antiviren-Lösungen vorzugaukeln, eine Datei sei sicher. Kaspersky Lab beobachtet diese Methode bereits seit einigen Jahren – vor allem bei Advanced Persistent Threats”, kommentiert Holger Suhl, General Manager DACH bei Kaspersky Lab, in einer Pressemitteilung.

Laut Kaspersky gibt es bereits zahlreiche Beispiele für Cyberattacken auf Grundlage gestohlener oder gefälschter Zertifikate. So nutzte etwa der Stuxnet-Wurm von Realtek und JMicron entwendete Zertifikate. Die Akteure der als Winnti bezeichneten Cyberspionagekampagne klauten hingegen Zertifikate von Unternehmen im Gaming-Bereich und setzten diese für Angriffe ein.

Identische Zertifikate seien zudem von chinesischen Hackergruppen für Attacken genutzt worden. Das könnte Kaspersky zufolge ein Hinweis darauf sein, dass diese zuvor im Cyberuntergrund angeboten wurden. Die Hintermänner der Kampagne Darkhotel signierten ihre Backdoor-Programme laut dem Sicherheitsspezialisten ebenfalls mit digitalen Zertifikaten, was in dem Fall darauf hindeute, dass die Hacker Zugang zu den für die Erstellung von Zertifikaten erforderlichen Geheimschlüsseln hatten.

Um dem massenhaften Diebstahl digitaler Zertifikate vorzubeugen, empfiehlt Kaspersky Unternehmen, die Kontrolle über signierte Dateien mittels Antiviren-Software sowie angemessenen Sicherheitsrichtlinien zu verbessern. Ferner könne das Risiko eines per Zertifikattäuschung herbeigeführten Angriffs verringert werden, indem etwa der Start von durch unbekannte Softwareanbieter signierten Programmen generell blockiert werde. Hintergrund sei, dass die Mehrzahl der Zertifikate aus kleinen Entwicklerfirmen entwendet werde.

Ebenso ist Kaspersky zufolge Vorsicht geboten, wenn Zertifikate unbekannter Zertifizierungsstellen auftauchen. Diese sollten nicht im Zertifikatsspeicher installiert werden. Zudem dürften Systemadministratoren auch keine Programme ausführen, die ausschließlich auf Basis des Namens eines vermeintlich vertrauenswürdigen Zertifikats signiert seien. Weitere Parameter wie Seriennummer und Fingerabdruck (Hash-Summe) sollten überdies immer mit geprüft werden.

Darüber hinaus rät Kaspersky das Microsoft-Update MS13-098 zu installieren. Es behebt eine Schwachstelle, die die Ausführung von Remotecode erlaubt. Zu guter Letzt sollten Unternehmen Sicherheitslösungen einsetzen, die eine eigene Datenbank mit der Unterteilung in vertrauenswürdige und nicht vertrauenswürdige Zertifikate besitzen.

Kaspersky_certificates (Grafik: Kaspersky Lab)
Die Anzahl gefälschter digitaler Zertifikate zur Signierung von Malware hat sich 2014 gegenüber dem Vorjahr verdoppelt (Grafik: Kaspersky Lab).
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen