DigiCert gehackt door middel van malafide screensaver-bestand

In dit artikel:

Aanvallers wisten certificaatautoriteit DigiCert te compromitteren door een malafide screensaver-bestand (.scr) te versturen in een zip-bestand naar een helpdeskmedewerker. De aanval begon op 2 april: nadat beveiliging vier infectiepogingen had geblokkeerd, werd bij een vijfde poging de machine van een support-analist besmet. DigiCert startte een onderzoek en dacht het incident onder controle te hebben, maar elf dagen later bracht een tip van een externe onderzoeker aan het licht dat ook een tweede support-machine was geïnfecteerd. Op die tweede machine werkte de beveiliging niet goed, waardoor de besmetting eerst onopgemerkt bleef.

Via de gecompromitteerde support-portal — waarmee medewerkers beperkte toegang tot klantaccounts kunnen krijgen — kregen de aanvallers toegang tot initialisatiecodes en goedgekeurde bestellingen voor nog niet uitgegeven code signing-certificaten. Daarmee konden zij certificaten bemachtigen en uiteindelijk 27 gestolen certificaten gebruiken om malware te ondertekenen. Naar aanleiding van het onderzoek trok DigiCert in totaal zestig certificaten in.

DigiCert wijst op meerdere tekortkomingen die het misbruik mogelijk maakten: onvoldoende controle op bestandstypes in ondersteuningskanalen, inconsistentie en blinde vlekken in endpoint detection & response (EDR)-dekking en ontoereikende bescherming van initialisatiecodes voor code signing. Het bedrijf zegt dat het geluk had dat een externe onderzoeker het misbruik signaleerde. Belangrijke lessen voor soortgelijke organisaties zijn het aanscherpen van file-validation in supportkanalen, zorgen voor volledige EDR-dekking, betere beveiliging van sleutel- en initialisatiecodes en strikte toegangslimieten tot interne portals om soortgelijke risico’s te verkleinen.