Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Blogs
    2. Fallstudie

Fallstudie: Der Diebstahl des GitHub-Code-Signaturzertifikats im Jahr 2023 

Geschrieben vonArier Kumar 9 Minuten
Diebstahl von GitHub-Code-Signaturzertifikaten
Inhaltsverzeichnis

Codesignaturzertifikate sind entscheidend für die Authentizität und Integrität von Software. Dennoch kann ihr Diebstahl es Cyberkriminellen ermöglichen, unter dem Deckmantel der Legitimität Schadcode zu verbreiten, sofern sie auch die zugehörigen privaten Schlüssel kompromittieren, da dies tatsächlich böswilliges Signieren ermöglicht. Diese Zertifikate sind attraktive Ziele für Angreifer, da sie das Vertrauen seriöser Organisationen genießen und signierter Malware ermöglichen, Sicherheitsüberprüfungen auf Systemen wie Windows und macOS zu umgehen.  

Am 31. Januar 2023 meldete GitHub, eine führende Code-Hosting-Plattform, eine schwerwiegende Sicherheitsverletzung, bei der Angreifer drei verschlüsselte Code-Signatur-Zertifikate stahlen. Dieser Vorfall verdeutlichte die Schwachstellen selbst in den robustesten Softwareentwicklungs-Ökosystemen und das verheerende Potenzial gestohlener Zertifikate. 

In diesem Blog werden wir den GitHub-Datendiebstahl aufdecken und die Herausforderungen untersuchen, mit denen die Angreifer konfrontiert waren, welche Auswirkungen der Diebstahl hatte und wie er hätte verhindert werden können.  

Unternehmen

Microsoft besitzt GitHub, die weltweit größte Plattform für Versionskontrolle und kollaborative Softwareentwicklung. Sie hostet über 100 Millionen Repositories und bedient ab 2023 mehr als 94 Millionen Entwickler. GitHub mit Sitz in San Francisco bietet Tools für Code-Hosting, Versionskontrolle und Pipelines für kontinuierliche Integration/kontinuierliche Bereitstellung (CI/CD)und unterstützt Millionen von Open-Source- und Enterprise-Projekten. Diese CI/CD- und DevOps Integrationen sind zwar leistungsstark, bieten aber auch potenzielle Angriffsflächen, die Cyber-Akteure ausnutzen können, um die Software-Lieferkette zu kompromittieren. 

Die entscheidende Rolle der Plattform im globalen Software-Ökosystem macht sie zu einem begehrten Ziel für Angreifer, die vertrauenswürdige Zertifikate für böswillige Zwecke missbrauchen wollen. GitHub fungiert als entscheidendes Glied in der Software-Vertrauenskette, wobei seine Zertifikate die Legitimität der über die Plattform verbreiteten Software gewährleisten. Diese zentrale Position macht die Plattform zu einem äußerst attraktiven Ziel für Angreifer, da die Kompromittierung der GitHub-Zertifikate es ihnen ermöglichen könnte, Schadcode in eine Vielzahl vertrauenswürdiger Software einzuschleusen und so die Grundlage der Softwaresicherheit für Millionen von Nutzern zu untergraben. 

Art und Zeitablauf des Verstoßes

Der Einbruch wurde durch einen kompromittierten Personal Access Token (PAT) ermöglicht, der den Angreifern unberechtigten Zugriff gewährte. Es handelt sich um ein passwortähnliches Feld, das mit einem Computerkonto verknüpft ist und für die Interaktion automatisierter Tools und Skripte mit GitHub konzipiert ist. Der PAT wurde wahrscheinlich aufgrund unzureichender Sicherheitsmaßnahmen ausgenutzt, wobei die genaue Methode der Kompromittierung unklar bleibt. Die Angreifer hatten etwa einen Tag lang Zugriff, bevor der Einbruch entdeckt wurde. Zu den gestohlenen Zertifikaten gehörten: 

  • Ein Apple Developer ID-Zertifikat, gültig bis 2027. 
  • Zwei von DigiCert ausgestellte Zertifikate mit Ablaufdaten vom 4. Januar 2023 bzw. 1. Februar 2023. 

Wichtig ist, dass alle gestohlenen Zertifikate verschlüsselt und passwortgeschützt waren. Es gab keine Hinweise darauf, dass die Angreifer sie entschlüsselt oder böswillig verwendet hätten. Diese Verschlüsselung dürfte zwar die unmittelbaren Risiken gemindert haben, das Missbrauchspotenzial blieb jedoch weiterhin ein erhebliches Problem. 

Der Vorfall verlief wie folgt: 

  • December 6, 2022 : Angreifer nutzten das kompromittierte PAT, um Repositories zu klonen, darunter auch solche, die die Code-Signatur-Zertifikate enthielten. 
  • December 7, 2022 : GitHub hat den nicht autorisierten Zugriff erkannt und das kompromittierte PAT sofort widerrufen, wodurch weiterer Zugriff verhindert wurde. 
  • 31. Januar 2023: GitHub hat den Vorfall in einem Blogbeitrag öffentlich gemacht, den Diebstahl aufgedeckt und Reaktionsmaßnahmen skizziert. 
  • 2. Februar 2023: Als Vorsichtsmaßnahme hat GitHub die drei gestohlenen Zertifikate sofort widerrufen. 

Die Tatsache, dass die Angreifer sich vor der Entdeckung unberechtigten Zugriff verschafften und diesen aufrechterhielten, deutet auf eine potenzielle Lücke in GitHubs Echtzeit-Überwachungs- und Warnsystemen für verdächtige Aktivitäten im Zusammenhang mit Maschinenkonten und PATs hin. Obwohl GitHub nach der Identifizierung des Zugriffs schnell reagierte, unterstreicht dieser Zeitraum unentdeckten Zugriffs die entscheidende Bedeutung einer zuverlässigen Anomalieerkennung und kontinuierlichen Sicherheitsüberwachung, insbesondere für eine kritische Infrastrukturumgebung wie GitHub. 

Challenges

Das GitHub-Code-Signaturzertifikat brachte mehrere wichtige Herausforderungen mit sich: 

  1. Unbefugter Zugriff auf Zertifikate

    Am 6. Dezember 2022 verschafften sich Angreifer unbefugten Zugriff auf ausgewählte GitHub-Repositories und stahlen drei verschlüsselte Code-Signatur-Zertifikate: ein Apple Developer ID-Zertifikat und zwei von DigiCert ausgestellte Zertifikate. Obwohl die Zertifikate passwortgeschützt waren, bestand durch ihren Diebstahl das Risiko, dass Angreifer versuchten, sie zu entschlüsseln und zum Signieren von Schadcode zu missbrauchen.

  2. Verzögerte Erkennung

    Der Verstoß blieb bis zum 7. Dezember 2022 unentdeckt, als GitHub verdächtige Aktivitäten feststellte. Diese Verzögerung ermöglichte es Angreifern, die Zertifikate zu exfiltrieren, was die Herausforderung der Echtzeitüberwachung in komplexen Entwicklungsumgebungen verdeutlicht.

  3. Sicherheitslücken im Zertifikatsmanagement

    Der Vorfall offenbarte Schwachstellen bei der Zertifikatsspeicherung und den Zugriffskontrollen. Durch eine ordnungsgemäße RBAC wird sichergestellt, dass Konten wie das kompromittierte nur über die erforderlichen Mindestberechtigungen verfügen, um ihre jeweiligen Aufgaben auszuführen. So wird ein umfassender Zugriff auf sensible Daten wie Code-Signatur-Zertifikate verhindert.

    Obwohl die Zertifikate verschlüsselt waren, wurden sie in für die Angreifer zugänglichen Repositories gespeichert, was auf eine unzureichende Nutzung sicherer Speicherlösungen hindeutet, wie z. B. Hardware-Sicherheitsmodule (HSMs), da es sich um speziell entwickelte kryptografische Geräte handelt, die kryptografische Schlüssel in einer manipulationssicheren Umgebung speichern und so sicherstellen, dass die Schlüssel das Gerät auch während Signiervorgängen nie verlassen. Die Untersuchung von GitHub bestätigte, dass kein böswilliger Gebrauch stattgefunden hat, das Missbrauchspotenzial blieb jedoch weiterhin besorgniserregend.

  4. Widerruf und Antwortkomplexität

    Der Widerruf der gestohlenen Zertifikate erforderte die Abstimmung mit Zertifizierungsstellen (CAs) wie DigiCert und Apple. Dieser zeitaufwändige Prozess beeinträchtigte den GitHub-Betrieb. Das bis 2027 gültige Apple Developer ID-Zertifikat stellte eine besondere Herausforderung dar, da Apple den Missbrauch signierter ausführbarer Dateien überwachen musste. Solche Widerrufsprozesse können sehr komplex und zeitaufwändig sein. Daher könnten automatisierte Lösungen die Erkennung kompromittierter Zertifikate deutlich vereinfachen, den Widerrufsprozess beschleunigen und die durch solche Vorfälle verursachten Betriebsstörungen minimieren.

Diese Herausforderungen verdeutlichen einige größere Probleme in der Branche, wo Unternehmen durch schlechtes Zertifikatsmanagement und unzureichende Sicherheitsmaßnahmen erheblichen Risiken ausgesetzt sein können. 

Auswirkungen

Der Diebstahl der Code-Signatur-Zertifikate von GitHub hatte weitreichende Folgen, auch wenn kein böswilliger Einsatz bestätigt wurde: 

  1. Potenzial für die Verbreitung von Malware

    Hätten die Angreifer die gestohlenen Zertifikate entschlüsselt, hätten sie Schadsoftware signieren und so die Sicherheitsüberprüfungen auf Windows- und macOS-Systemen umgehen können. Laut dem IBM Cost of Data Breach-Bericht von 2024 belaufen sich die durchschnittlichen weltweiten Kosten eines Datenlecks auf rund 4.9 Millionen US-Dollar, was die potenzielle Schwere solcher Angriffe widerspiegelt.

  2. Reputationsschaden

    Der Ruf von GitHub als vertrauenswürdige Plattform war gefährdet, da der Angriff das Vertrauen der 94 Millionen Nutzer hätte schädigen können. Eine Forschungsstudie zeigt, dass Malware-Angriffe, die durch gestohlene Zertifikate ermöglicht werden, die Glaubwürdigkeit eines Unternehmens erheblich schädigen und möglicherweise zu Geschäftsverlusten führen können.

  3. Betriebsstörung

    Die Reaktion von GitHub bestand darin, die gestohlenen Zertifikate am 2. Februar 2023 zu widerrufen und neue auszustellen, was die Entwicklungsabläufe störte.

  4. Regulatorische und Compliance-Risiken

    Der Verstoß weckte Bedenken hinsichtlich der Einhaltung von Standards wie Datenschutz und die Anforderungen des CA/B-Forums, da gestohlene Zertifikate bei Missbrauch zu Datenverletzungen führen können.

  5. Branchenweite Bedenken

    Der Vorfall unterstrich die wachsende Bedrohung durch den Diebstahl von Code-Signatur-Zertifikaten. Eine Studie berichtete in den letzten Jahren von einem Anstieg der Supply-Chain-Angriffe um 742 Prozent. Dies führte zu einem erneuten Fokus auf die Sicherung privater Schlüssel und Zertifikate in der gesamten Softwarebranche. Abgesehen von den technischen Auswirkungen können solche Verstöße das Vertrauen der Entwickler in Plattformen wie GitHub erheblich untergraben, da sie sich direkt auf das Vertrauen der Benutzer in solche Tools und Plattformen auswirken, auf die sie täglich angewiesen sind.

    Darüber hinaus hatte der Vorfall indirekte, aber erhebliche Auswirkungen auf die große Community der Open-Source-Mitwirkenden, die auf die Integrität von GitHub als Grundlage für ihre Zusammenarbeit und die Verbreitung ihrer Projekte angewiesen sind.

Das Potenzial des Sicherheitsverstoßes, eine weitverbreitete Verbreitung von Schadsoftware zu ermöglichen, unterstreicht die Bedeutung starker Zertifikatsschutzmaßnahmen. Der Widerruf der Zertifikate hatte direkte Auswirkungen auf die Nutzer der betroffenen Anwendungen: 

  • GitHub Desktop für Mac: Die Versionen 3.0.2 bis 3.1.2 wurden für ungültig erklärt, da diese mit den kompromittierten Zertifikaten signiert waren. Benutzern wurde empfohlen, auf die neueste Version vom 4. Januar 2023 zu aktualisieren, die neue Zertifikate enthält. 
  • Atom: Die Versionen 1.63.0 und 1.63.1 wurden ebenfalls für ungültig erklärt und von der Release-Seite entfernt. Benutzer wurden angewiesen, auf Version 1.60.0 herunterzustufen, mit dem Hinweis, dass Atom im Dezember 2022 offiziell eingestellt wurde. 
  • Nicht betroffene Anwendungen: GitHub Desktop für Windows war nicht betroffen, da es andere Signaturmechanismen verwendete. 

Enterprise Code-Signing-Lösung

Holen Sie sich mit unserer Code-Signing-Lösung eine Lösung für alle Ihre kryptografischen Software-Code-Signing-Anforderungen.

Demo buchen

Wie kann Verschlüsselungsberatung dazu beitragen, dies zu verhindern?

Die CodeSign Secure-Lösung von Encryption Consulting bietet umfassende Tools zur Verhinderung von Vorfällen wie dem GitHub-Zertifikatsdiebstahl. So hätten die Risiken minimiert werden können: 

  1. Sichere Schlüsselspeicherung mit HSMs

    Anstatt sich auf potenziell anfällige Repository-Speicher zu verlassen, CodeSign Secure nutzt FIPS 140-2 Level 3-konform Hardware-Sicherheitsmodule (HSMs)Dies ist von entscheidender Bedeutung, da HSMs eine isolierte, manipulationssichere Umgebung bieten, in der private Schlüssel generiert und verwendet werden, sodass sichergestellt ist, dass sie das Gerät nie verlassen.

    Im Falle des Diebstahls von Code-Signatur-Zertifikaten von GitHub hätte dies bedeutet, dass selbst wenn Angreifer Zugriff auf Repositories mit verschlüsselten Zertifikaten erlangt hätten, die entsprechenden privaten Schlüssel, die für die eigentliche Signierung unerlässlich sind, innerhalb der HSMs sicher und völlig unzugänglich geblieben wären.

  2. Benutzerdefinierter Schlüsselspeicheranbieter (KSP)

    Das proprietäre KSP von Encryption Consulting ermöglicht clientseitiges Hashing, bei dem der kryptografische Hash des Codes lokal berechnet wird, ohne dass der private Schlüssel dem Benutzer oder der Anwendung zugänglich gemacht wird. Dadurch wird sichergestellt, dass Signaturvorgänge sicher innerhalb des HSM erfolgen, wodurch das Risiko einer Offenlegung des privaten Schlüssels selbst bei Zertifikatsdiebstahl ausgeschlossen wird.

  3. Automatisiertes Signieren und Auditieren

    Manuelle Signaturprozesse sind fehleranfällig und bieten weniger Transparenz. CodeSign Secure automatisiert den Signaturprozess direkt in CI/CD-Pipelines und stellt sicher, dass nur autorisierter Code konsistent signiert wird. Noch wichtiger ist, dass für jeden Signaturvorgang umfassende Prüfprotokolle erstellt werden. Dadurch hätte GitHub unbefugten Zugriff in Echtzeit erkennen und den Diebstahl möglicherweise verhindern können.

  4. Zugangskontrolle und Überwachung

    CodeSign Secure implementiert strenge, rollenbasierte Zugriffskontrollen und stellt sicher, dass nur autorisierte Personen und automatisierte Prozesse Signaturvorgänge einleiten können. Darüber hinaus ist die Integration mit Sicherheitsinformations- und Ereignismanagement (SIEM) Systeme wie Splunk ermöglichen eine zentrale Überwachung und Warnmeldung in Echtzeit.

  5. Einhaltung von Industriestandards

    Unsere CodeSign Secure-Lösung hilft Ihnen außerdem dabei, die Einhaltung von CA / B-Forum und DSGVO-Anforderungen und helfen Ihrem Unternehmen, sichere Zertifikats- und Signaturpraktiken aufrechtzuerhalten.

Fazit

Der Diebstahl von GitHub-Code-Signaturzertifikaten im Jahr 2023 ist ein wichtiges Beispiel für die Schwachstellen in Softwareentwicklungs-Ökosystemen. Der Diebstahl von drei verschlüsselten Zertifikaten birgt erhebliche Risiken mit potenziellen Kosten und Schäden für das Unternehmen. Die Reaktion von GitHub milderte den unmittelbaren Schaden, doch der Verstoß unterstrich die Notwendigkeit einer stärkeren Zertifikatssicherheit. 

Verschlüsselungsberatung CodeSign Securebietet mit HSM-basierter Speicherung, automatisierter Signatur und robuster Überwachung einen proaktiven Schutz gegen derartige Bedrohungen. Da Cyberkriminelle es auf Code Signing-Zertifikate abgesehen haben, müssen Unternehmen der sicheren Schlüsselverwaltung Priorität einräumen, um ihre Software, Benutzer und ihren Ruf zu schützen. Die Sicherung der Software-Lieferkette liegt nicht allein in der Verantwortung einzelner Unternehmen, sondern ist ein gemeinsames Gebot der Branche. Um das digitale Vertrauen aufrechtzuerhalten, sind gemeinsame Anstrengungen und die Einführung bewährter Verfahren erforderlich. 

Entdecken

Weitere Themen