[datensicherheit.de, 10.03.2022] „Die jüngste Sicherheitsverletzung bei Nvidia, bei der es um Zertifikatsmissbrauch ging, ähnelt auf unheimliche Weise der von Opera im Jahr 2013 und der von Adobe im Jahr 2012“, kommentiert Pratik Selva, „Sr. Security Engineer“ bei Venafi. Wenn Unternehmen den Prozess und die Infrastruktur für die Verwaltung von Code-Signing-Zertifikaten nicht ordnungsgemäß absicherten, seien sowohl die Wahrscheinlichkeit eines Missbrauchs als auch die Auswirkungen einer Kompromittierung sehr hoch. Der Nvidia-Vorfall deute auch auf das Auftreten von „Lateral Movement“ hin, mit welchem zu rechnen sei, „sobald ein Angreifer Zugang zu einem Netzwerk erhält“.

Vorfall bei Nvidia wirft u.a. Schlaglicht auf fehlende Sicherheitskontrollen

„Rootkits“ seien in diesem Fall nicht öffentlich bekanntgemacht worden, dennoch könnten solche Kompromittierungen durch „Rootkits“, wie „DirtyMoe“, erreicht werden, welche verschiedene APT-Gruppen einsetzten. „DirtyMoe“ verwende einen mit einem widerrufenen Zertifikat signierten Treiber, welcher nahtlos in den „Windows“-Kernel geladen werden könne.

Dieser Vorfall werfe ein Schlaglicht auf die fehlenden Sicherheitskontrollen und die mangelnde Durchsetzung des Code-Signierungsprozesses sowie auf die ihn unterstützende Infrastruktur.

Selva: „Eines der Hauptprobleme besteht darin, dass widerrufene oder abgelaufene Zertifikate nicht von allen in ,Windows‘ vorhandenen Sicherheitsmechanismen überprüft oder durchgesetzt werden, auch nicht von dem Mechanismus, der überprüft, ob geladene Treiber signiert sind.“ Infolgedessen könnten sich „Windows“-Benutzer nicht vollständig auf die eingebauten Schutzmechanismen verlassen und zu allem Überfluss verwendeten viele sogar noch anfälligere EoL-„Windows“-Versionen (EoL: End-of-Life).

Jedes Unternehmen sollte angesichts des Vorfalls bei Nvidia vorbeugende Maßnahmen in Betracht ziehen:

• Die Infrastruktur, welche „Code Signing“ implementiert, sollte ausschließlich „Code Signing“ durchführen.
• Auf einer solchen Infrastruktur sollte keine zusätzliche, nicht unbedingt erforderliche Software installiert werden. Jede zusätzliche Software sollte als potenzieller Angriffsvektor betrachtet werden, der missbraucht werden könnte.
• In der internen Systemklassifizierung einer Organisation sollte die „Code Signing“-Infrastruktur mit dem Status „kritisch“ eingestuft werden.
• Die „Code Signing“-Infrastruktur sollte stets auf dem neuesten Stand gehalten und gepatcht werden.
• Jede intern durchgeführte Risikoprüfung/-bewertung sollte die „Code Signing“-Infrastruktur des Unternehmens einschließen.
• „Wenn es um die Überprüfung von Zertifikaten geht, ist eine manuelle Zertifikatsüberprüfung eine empfohlene Ergänzung des Prozesses, insbesondere in Fällen von ausführbaren Dateien, die erhöhte Rechte erfordern“, so Selva abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 09.03.2022
Datendiebstahl bei Samsung vermutlich durch Hacker-Gruppe Lapsus$ / Einige spezifische Teile des geleakten Codes wichtige Sicherheitskomponenten für Samsung-Geräte

[datensicherheit.de, 09.03.2022] Laut Medienberichten hat der südkoreanische Elektronikkonzern Samsung am 7. März 2022 gemeldet, Opfer eines Cyber-Angriffs geworden zu sein, und damit bestätigt, was unterschiedliche Quellen in der vorhergehenden Woche bereits berichtet hatten. Hinter dieser Attacke steckt demnach die Hacker-Gruppierung „Lapsus$“, die durch den Angriff auf die IT-Infrastruktur 190 GB an vertraulichen Daten erbeutet haben soll – darunter Quelltext für aktuellere Samsung-Modelle und vertrauliche „Source Codes“. Diese Gruppe, welche bereits durch einen ähnlichen Fall mit Lösegeldforderung an Nvidia im Februar 2022 Schlagzeilen gemacht habe, habe nun die sensiblen Samsung-Daten bereits im Netz veröffentlicht – ob es in diesem Fall eine Lösegeldforderung gab und diese nicht bezahlt wurde, sei nicht bestätigt worden. Chris Vaughan, „AVP of Technical Account Management, EMEA“ bei Tanium, geht in seiner aktuellen Stellungnahme auf diesen Vorfall ein.

Foto: Tanium

Chris Vaughan: Da Samsung-Geräte weit verbreitet sind, könnte die Angriffsfläche für Cyber-Kriminelle groß und lukrativ sein…

Veröffentlichung der gestohlenen Quellcodes könnte Samsung erheblich schaden

Der Angriff und die Veröffentlichung der gestohlenen Quellcodes aus den verschiedenen Teilen des Samsung-Netzwerks könne dem Unternehmen einen erheblichen Schaden zufügen. Vaughan führt aus: „Einige spezifische Teile des geleakten Codes sind wichtige Sicherheitskomponenten für Samsung-Geräte, was das Knacken und Eindringen in Telefone erleichtern könnte.“ Er erwartet, „dass Angreifer testen werden, ob biometrische Sicherheitskontrollen wie Fingerabdruck und Gesichtserkennung umgangen werden können“.

Auch wenn laut Samsung keine expliziten Kundendaten veröffentlicht worden seien, sei Vorsicht geboten. Denn theoretisch könnte diese Sicherheitslücke das Schreiben von Malware erleichtern, um Geräte aus der Ferne zu kompromittieren. „Da Samsung-Geräte weit verbreitet sind, könnte die Angriffsfläche für Cyber-Kriminelle groß und lukrativ sein.“

Nach einer Attacke wie bei Samsung sofort mit der Schadensbegrenzung beginnen können

„Die möglichen Folgen dieser Sicherheitsverletzung machen erneut deutlich, wie wichtig Cyber-Sicherheit für alle Unternehmen ist“, betont Vaughan. Um Firmen vor den Auswirkungen eines Angriffs zu schützen, müsse sichergestellt werden, „dass der gesamte IT-Bereich transparent ist, um Probleme zu erkennen“.

Zusätzlich müssten die nötigen Kontrollmechanismen vorhanden sein, damit etwaige Probleme schnell behoben werden könnten. Nach einer Attacke sei es wichtig, sofort mit der Schadensbegrenzung zu beginnen, um die Auswirkungen so weit wie möglich abzumildern – „und dafür sind geeignete Backup- und Disaster-Recovery-Lösungen unerlässlich“.

Weitere Informationen zum Thema:

golem.de, Moritz Tremmel, 26.02.2022
Chiphersteller: Cyberangriff auf Nvidia

datensicherheit.de, 19.08.2021
T-Mobile: Genaues Ausmaß des Datendiebstahls noch unklar