MSI Data Breach – Wie uns der Hack bedroht und was wir tun sollten
Heute Morgen hat mich die Schlagzeile „MSI Data Breach: Private Code Signing Keys Leaked on the Dark Web“ etwas geschockt.
Allerdings macht mir nicht so sehr die Tatsache Sorgen, dass so etwas passiert, sondern vielmehr, dass viele Kunden nicht ausreichend geschützt sind. Oft greift das Sicherheitsnetz, das Microsoft für solche Fälle aufgespannt hat, nicht. Gründe hierfür können die Unwissenheit von Netzwerkadministratoren oder zu stark eingeschränkter Internet-Zugriff sein.
Das genaue Außmaß und die Folgen sind derzeit noch nicht überschaubar, jedoch berichten verschiedene Stellen, dass die Intel vPro Shield Technologie dadurch umgangen werden kann und das betrifft viele verschiedene Hersteller, wie z.B. Intel, Lenovo, Supermicro und andere.
Aber eins nach dem anderen:
Was ist ein Code signing Zertifikat und wozu wird es genutzt?
Ein Code-Signing-Zertifikat ist eine Art digitaler Ausweis, mit dem ein Software-Entwickler oder Hersteller seine Programme als vertrauenswürdig kennzeichnen kann.
Es wird verwendet, um sicherzustellen, dass eine heruntergeladene Software tatsächlich von dem angegebenen Hersteller stammt und nicht von einer anderen Person oder einem schädlichen Hacker manipuliert wurde.
Was können Kriminelle nun machen?
Konkret könnten Kriminelle beispielsweise manipulierte Software mit einer gefälschten Signatur versehen, um diese als vertrauenswürdig und authentisch erscheinen zu lassen, um Nutzer dazu zu verleiten, die Software herunterzuladen und auszuführen. Hierdurch könnten sie dann Schadsoftware auf dem System des Nutzers installieren oder sensible Daten ausspionieren.
Wie funktioniert der Schutz vor gestohlenen Zertifikaten unter Windows?
Windows bietet eine Methode namens Certificate Revocation List (CRL), um Benutzer vor gestohlenen oder ungültigen Zertifikaten zu schützen.
Eine CRL ist eine Liste aller Zertifikate, die ungültig geworden sind oder von denen bekannt ist, dass sie gestohlen wurden. Wenn ein Benutzer eine signierte Software oder eine verschlüsselte Verbindung herstellt, prüft das Betriebssystem, ob das Zertifikat in der CRL aufgeführt ist.
Wenn das Zertifikat auf der CRL steht, wird das Betriebssystem den Zugriff verweigern und den Benutzer warnen, dass das Zertifikat nicht vertrauenswürdig ist und die Verbindung oder das Programm potenziell gefährlich sein können.
Die CRL wird regelmäßig aktualisiert, um sicherzustellen, dass sie aktuelle Informationen enthält. Wenn ein Zertifikat aus der Liste entfernt wird, weil es wieder gültig ist, wird das Betriebssystem erneut erlauben, dass Verbindungen oder Software-Updates mit dem Zertifikat hergestellt werden können.
Warum sind viele Kunden gefährdet?
Die Certificate Revocation List (CRL) wird nicht nur von Microsoft, sondern auch von anderen Certificate Authorities (CAs) bereitgestellt. Die IP-Adressen und Ports für den Zugriff auf die CRLs anderer CAs müssen daher im Firmen-Netztwerk erreichbar sein.
Oft werden die CRL über ein Content Delivery Network (CDN), wie z.B. Akamai bereitgestellt. Leider sind bei vielen Firmen diese IP Adressen nicht oder nur teilweise freigeschaltet, so dass die Mitarbeiter nicht vor manipulierter Software gewarnt werden können.
Welche Root CAs gibt es?
Es gibt viele CAs, hier ist eine Liste der wichtigsten:
Zusammenfassend sollten wir sorgfältig darauf achten, von welcher Quelle wir Software- und Treiberupdates herunterladen. Es ist wichtig zu überprüfen, ob die Updates mit vertrauenswürdigen Zertifikaten signiert sind und ob wir die CRL-Server-IP- und DNS-Adressen der zugehörigen Root-CA erreichen können. Durch diese Vorsichtsmaßnahmen können wir sicherstellen, dass wir keine potenziell gefährliche oder bösartige Software auf unseren Geräten installieren, die unsere Sicherheit und Privatsphäre gefährden könnte.
Keine Nachrichten mehr verpassen?
powered by Borlabs Cookie 