Aktuelles, Branche - geschrieben von dp am Donnerstag, März 10, 2022 15:28 - noch keine Kommentare
Im Umlauf: Nvidia-Treiber mit Malware
Aktueller Nvidia-Vorfall ähnelt Zertifikatsmissbrauch bei Opera und
[datensicherheit.de, 10.03.2022] „Die jüngste Sicherheitsverletzung bei Nvidia, bei der es um Zertifikatsmissbrauch ging, ähnelt auf unheimliche Weise der von Opera im Jahr 2013 und der von Adobe im Jahr 2012“, kommentiert Pratik Selva, „Sr. Security Engineer“ bei Venafi. Wenn Unternehmen den Prozess und die Infrastruktur für die Verwaltung von Code-Signing-Zertifikaten nicht ordnungsgemäß absicherten, seien sowohl die Wahrscheinlichkeit eines Missbrauchs als auch die Auswirkungen einer Kompromittierung sehr hoch. Der Nvidia-Vorfall deute auch auf das Auftreten von „Lateral Movement“ hin, mit welchem zu rechnen sei, „sobald ein Angreifer Zugang zu einem Netzwerk erhält“.
Vorfall bei Nvidia wirft u.a. Schlaglicht auf fehlende Sicherheitskontrollen
„Rootkits“ seien in diesem Fall nicht öffentlich bekanntgemacht worden, dennoch könnten solche Kompromittierungen durch „Rootkits“, wie „DirtyMoe“, erreicht werden, welche verschiedene APT-Gruppen einsetzten. „DirtyMoe“ verwende einen mit einem widerrufenen Zertifikat signierten Treiber, welcher nahtlos in den „Windows“-Kernel geladen werden könne.
Dieser Vorfall werfe ein Schlaglicht auf die fehlenden Sicherheitskontrollen und die mangelnde Durchsetzung des Code-Signierungsprozesses sowie auf die ihn unterstützende Infrastruktur.
Selva: „Eines der Hauptprobleme besteht darin, dass widerrufene oder abgelaufene Zertifikate nicht von allen in ,Windows‘ vorhandenen Sicherheitsmechanismen überprüft oder durchgesetzt werden, auch nicht von dem Mechanismus, der überprüft, ob geladene Treiber signiert sind.“ Infolgedessen könnten sich „Windows“-Benutzer nicht vollständig auf die eingebauten Schutzmechanismen verlassen und zu allem Überfluss verwendeten viele sogar noch anfälligere EoL-„Windows“-Versionen (EoL: End-of-Life).
Jedes Unternehmen sollte angesichts des Vorfalls bei Nvidia vorbeugende Maßnahmen in Betracht ziehen:
- Die Infrastruktur, welche „Code Signing“ implementiert, sollte ausschließlich „Code Signing“ durchführen.
- Auf einer solchen Infrastruktur sollte keine zusätzliche, nicht unbedingt erforderliche Software installiert werden. Jede zusätzliche Software sollte als potenzieller Angriffsvektor betrachtet werden, der missbraucht werden könnte.
- In der internen Systemklassifizierung einer Organisation sollte die „Code Signing“-Infrastruktur mit dem Status „kritisch“ eingestuft werden.
- Die „Code Signing“-Infrastruktur sollte stets auf dem neuesten Stand gehalten und gepatcht werden.
- Jede intern durchgeführte Risikoprüfung/-bewertung sollte die „Code Signing“-Infrastruktur des Unternehmens einschließen.
- „Wenn es um die Überprüfung von Zertifikaten geht, ist eine manuelle Zertifikatsüberprüfung eine empfohlene Ergänzung des Prozesses, insbesondere in Fällen von ausführbaren Dateien, die erhöhte Rechte erfordern“, so Selva abschließend.
Weitere Informationen zum Thema:
datensicherheit.de, 09.03.2022
Datendiebstahl bei Samsung vermutlich durch Hacker-Gruppe Lapsus$ / Einige spezifische Teile des geleakten Codes wichtige Sicherheitskomponenten für Samsung-Geräte
Aktuelles, Experten - Aug. 31, 2025 0:13 - noch keine Kommentare
PayPal-Zahlungsausfälle: Verbraucherzentrale NRW gibt Betroffenen Empfehlungen
weitere Beiträge in Experten
- Länderdomain-Ranking: Deutschland auf Platz 2 – China global führend
- 19. Paderborner Tag der IT-Sicherheit zu zentralen Themen digitaler Sicherheit
- Bitkom-Forderung: Nationaler Sicherheitsrat muss Cyberraum in den Blick nehmen
- Drug-resistant epilepsy: KFSHRC reports more than 2,000 successful procedures using Stereo-EEG
- Medikamentenresistente Epilepsie: KFSHRC meldet mehr als 2.000 erfolgreiche Eingriffe mittels Stereo-EEG
Branche, Studien - Aug. 30, 2025 0:59 - noch keine Kommentare
Task Scams: Trend Micro warnt vor digitalem Job-Betrug
weitere Beiträge in Branche
- Zum Bundesliga-Start warnt Kaspersky vor cyberkriminellem Angriffs-Portfolio
- PromptLock: ESET-Warnung vor erster autonomer KI-Ransomware
- Best Practices für Unternehmen: 8 Cohesity-Tipps zum Schutz vor Cyberangriffen
- Sophos: Ransomware setzt Einzelhandel massiv unter Druck – IT-Teams gelangen ans Limit
- Kommunikationslösungen für deutsche Behörden: Benjamin Schilz rät zur Abkehr von US-Anbietern
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren