DigiCert gehackt door middel van malafide screensaver-bestand

[Captain Kirk]

De aanvallers die certificaatautoriteit DigiCert wisten te hacken maakten gebruik van een malafide screensaver-bestand. Dat heeft het bedrijf in een incidentrapport laten weten. Bij de aanval werden 27 certificaten gestolen die worden gebruikt voor het signeren van code. De aanvallers gebruikten deze certificaten vervolgens om hun malware mee te signeren. Uiteindelijk besloot DigiCert zestig certificaten in te trekken.

Het incident begon op 2 april, toen de aanvaller een helpdeskmedewerker via een chatkanaal benaderde. Daarbij verstuurde de aanvaller een zip-bestand, dat zogenaamd een screenshot zou zijn. Het zip-bestand bevatte een .scr-bestand. Scr-bestanden zijn screensaver-bestanden, maar ook uitvoerbare bestanden. In dit geval bleek het bestand een malicious payload te bevatten. De beveiligingssoftware die DigiCert gebruikte blokkeerde vier infectiepogingen. Bij een vijfde poging werd de machine van een support-analist geïnfecteerd.

DigiCert detecteerde de infectie en startte vervolgens een onderzoek. De conclusie was dat het incident onder controle was. Elf dagen later wees verder onderzoek uit, na te zijn getipt door een externe onderzoeker, dat ook een tweede machine van een andere analist op dezelfde manier besmet was geraakt. De beveiligingssoftware op dit systeem werkte niet naar behoren, waardoor de infectie niet tijdens het eerdere onderzoek werd opgemerkt.

Via de tweede besmette machine kreeg de aanvaller toegang tot de interne support-portal van DigiCert. Via dit portaal kunnen DigiCert-medewerkers beperkte toegang tot klantaccounts krijgen. Via het portaal kreeg de aanvaller toegang tot codes voor bestelde en nog niet geleverde code signing certificaten, van een beperkt aantal klantaccounts. Met de code en goedgekeurde bestelling kon de aanvaller vervolgens de code signing certificaten in handen krijgen. Op basis van het onderzoek en de gecompromitteerde accounts besloot DigiCert zestig certificaten in te trekken, waarvan er 27 door de aanvallers waren gebruikt.

Volgens DigiCert gingen er verschillende zaken verkeerd, waaronder de controle op bestandstypes binnen de gebruikte supportkanalen. Daarnaast was de endpoint detection en response (EDR)-dekking inconsistent en onvolledig, waardoor er een blinde vlek was. Verder waren de initialisatiecodes van de code signing certificaten niet goed beveiligd. Verder stelt de certificaatautoriteit dat het mazzel had. Een externe onderzoeker ontdekte het misbruik van de certificaten en waarschuwde DigiCert, waarop de tweede besmette machine werd ontdekt.

 

bron: https://www.security.nl