Ein ausführlicher Leitfaden zum Missbrauch von Code Signing

Einführung

Der Aufbau einer sicheren IT-Infrastruktur erfordert strenge Sicherheitskontrollen. Beispiele hierfür sind die Implementierung eines Infrastruktur öffentlicher Schlüssel, die Implementierung von Überwachungsprodukten in Ihrer Umgebung oder die Nutzung legitimer Code Signing-Lösungen. Code Signing ist der Prozess des Signierens von Software, um sie für Benutzer zu authentifizieren.

Verwenden von Code Signing ZertifikateBei der Code-Signierung signiert ein Softwareentwickler seine Software mit einem Zertifikat, das seinen öffentlichen Schlüssel enthält. Der Empfänger der Software kann dann überprüfen, ob der öffentliche Schlüssel Teil eines Schlüsselpaars mit dem privaten Schlüssel des Entwicklers ist, und so die Software authentifizieren. Code Signing bestätigt zudem die Originalität digitaler Informationen, wie beispielsweise Softwarecode, und weist die Legitimität des Autors nach.

Code Signing spielt eine wichtige Rolle, da es legitime Software von Malware oder Rogue Code unterscheiden kann. Technisch gesehen erstellt Code Signing einen Hash des Codes und verschlüsselt ihn mit einem privaten Schlüssel, der seine Signatur hinzufügt. Während der Ausführung wird diese Signatur validiert. Wenn der Hash übereinstimmt, ist der Code unverfälscht. Außerdem wird sichergestellt, dass der Code vom legitimen Autor stammt, der er vorgibt zu sein.

Code Signing bietet zwar Sicherheit für Code, kann aber auch Probleme verursachen und anfällig für Angriffe und Missbrauch sein, wenn es nicht ordnungsgemäß implementiert wird. Der jüngste Angriff auf Solarwinds ist ein Beispiel dafür, bei dem der Code Signing-Prozess kompromittiert und betrügerischer Code als legitime Software in Systeme und Endpunkte implementiert wurde. Das Ziel eines Angreifers ist es, den Weg des geringsten Widerstands zu finden.

Viele Branchen, wie beispielsweise die Spieleindustrie, möchten ihren Code deutlich schneller veröffentlichen oder bereitstellen. Das Umgehen von Prozessen oder die Nichtbeachtung bewährter Sicherheitspraktiken ist weit verbreitet und kann dazu führen, dass Unternehmen Opfer von Missbrauch bei der Code-Signierung werden.

Wie wird Code Signing verwendet?

Code Signing wird für verschiedene Zwecke eingesetzt. Die naheliegendste Anwendung ist das Signieren von Softwarecode mit dem privaten Schlüssel des Entwicklers. Wie bereits erwähnt, wird die Software signiert, um sicherzustellen, dass der Code keinen Schadcode enthält, um dem Empfänger der Daten zu zeigen, dass der Entwickler derjenige ist, für den er sich ausgibt, und um Vertrauen zwischen Entwickler und Endbenutzer aufzubauen.

Bei signiertem Code können Benutzer darauf vertrauen, dass der Code keine böswilligen Absichten im Hintergrund birgt, da der Code-Signer in diesem Fall zur Verantwortung gezogen würde. Weitere Bereiche, in denen Code Signing zum Einsatz kommt, sind Unternehmensanwendungen, IoT-Geräte (Internet of Things) sowie Entwicklung und IT-Betrieb (Dev Ops).

Bei Unternehmensanwendungen wird jeglicher interner Code, Skripte, Pakete usw. per Code Signing signiert. Die Signierung der Skripte und Pakete erfolgt aus denselben Gründen wie die des Codes, da Angreifer darin schädliche Nutzdaten verbergen könnten. IoT-Geräte nutzen Code Signing zur Authentifizierung und Validierung. Updates für Firmware und Software sowie Nachrichten zwischen Benutzern auf IoT-Geräten werden von Entwicklern signiert.

Bei der Nutzung von Public-Key-Infrastrukturen (PKIs) authentifizieren Code-Signing-Zertifikate Benutzer im Netzwerk einer Organisation. Durch die Signierung des Zertifikats mit dem privaten Schlüssel des Benutzers und mithilfe des öffentlichen Schlüssels kann die Identität des Benutzers validiert werden. Bei Dev Ops laufen Integration und Code-Bereitstellung kontinuierlich ab. Der Code wird in mehreren Instanzen auf Containern und Cloud-Systemen bereitgestellt, sodass diese Container-Images in mehreren Phasen des Code-Lebenszyklus signiert werden müssen.

Missbrauch der Code-Signierung

Ein häufiger Grund für den Missbrauch von Code Signing besteht darin, Opfern Code bereitzustellen, der zwar legitim aussieht, aber Schadsoftware enthält, die vertrauliche Informationen von Benutzern stehlen oder deren Systeme vollständig zerstören kann. Angreifer könnten auch Code Signing-Zertifikate von legitimen Entwicklern stehlen und so Code unter dem Namen eines vertrauenswürdigen Erstellers veröffentlichen und so Schadsoftware an weitere Opfer weitergeben. Code Signing-Missbrauch kann auf verschiedene Weise erfolgen.

• Schlüsseldiebstahl

  Wenn digitale Zertifikate oder Schlüssel schlecht gespeichert und verwaltet werden, öffnet dies Angreifern Tür und Tor und ermöglicht ihnen, die privaten Schlüssel vertrauenswürdiger Benutzer zu stehlen. Mit diesen Schlüsseln können sie Code unter dem Namen einer anderen Identität signieren und Zertifikate im Namen der vertrauenswürdigen Identität ausstellen lassen und diese Zertifikate im Netzwerk missbrauchen.

  Beispielsweise speichert ein kleines Softwareentwicklungsunternehmen seinen privaten Schlüssel auf einem ungesicherten Server. Ein Angreifer kann den Schlüssel stehlen, indem er sich mithilfe eines Phishing-Angriffs Zugriff auf den Server verschafft und den Administrator angreift. Durch die Verwendung von Hardware-Sicherheitsmodule (HSMs) Schlüssel können vollständig vor Angreifern geschützt werden, da diese mit den richtigen Anmeldeinformationen physisch auf das HSM zugreifen müssten, um die darin gespeicherten Schlüssel zu stehlen.

• Codierungsfehler

  Ein weiterer, weniger beachteter Fehler, der dazu führen kann, dass Code-Signing missbraucht wird, liegt darin, dass Code-signierte Software Schwachstellen enthält. Wenn Software Schwachstellen enthält und Bedrohungsakteure diese entdecken, bevor sie gepatcht werden, war ihre Code-Signierung umsonst. Obwohl der Code signiert ist, können Angreifer diese Schwachstellen ausnutzen, um Schadsoftware auf den Systemen der Opfer zu installieren. Code sollte vor der Bereitstellung gründlich getestet werden, um sicherzustellen, dass keine Schwachstellen vorhanden sind.

  Beispiel: Ein Entwickler führt ein Software-Upgrade überstürzt durch, um einen dringenden Fehler zu beheben. Der Code wird signiert und ohne ordnungsgemäße Sicherheitstests an Kunden ausgeliefert. Dieser Code enthält jedoch Hintertüren für den Zugriff auf vertrauliche Kundeninformationen, was für das Unternehmen und seine Kunden weitreichende Folgen haben kann.

• Systemkompromiss

  Wenn ein System kompromittiert ist und Software darauf signiert wird, kann der Code vor der eigentlichen Signierung geändert werden. Dadurch können Schadsoftware-Nutzlasten ohne Wissen des Entwicklers in legitim signiertem Code versteckt werden. Sobald Angreifer im System sind, können sie einen kleinen Schadcode in die Software einschleusen, bevor der Build signiert wird. Code-Signierung wurde beim jüngsten SolarWinds-Angriff auf diese Weise missbraucht. Stellen Sie sicher, dass Ihre Systeme mit allen Sicherheitspatches auf dem neuesten Stand sind, um die Sicherheit Ihrer Online-Umgebung zu gewährleisten.

• Verwendung widerrufener/abgelaufener Zertifikate

  Wenn ein Schlüssel oder ein abgelaufenes Zertifikat kompromittiert wird und die Gültigkeit dieses Zertifikats nicht von einem Zertifizierungsstelle (CA), dann kann dieses Zertifikat verwendet werden, um die Code-Signierung von Schadsoftware zu ermöglichen.

  Abgelaufene oder widerrufene Zertifikate sollten in die Zertifikatsperrliste (CRL) damit die Zertifizierungsstellen feststellen können, dass das Zertifikat bis zu seinem Ersatz oder seiner Erneuerung für nichts mehr verwendet werden sollte.

Bekannte Code Signing-Missbräuche

Indem wir aus früheren Code-Signing-Missbräuchen lernen, können wir Daten in Zukunft schützen. In der Vergangenheit kam es zu zahlreichen namhaften Code-Signing-Missbräuchen, heute konzentrieren wir uns auf drei der bekanntesten, beginnend mit SolarWinds. Im Jahr 2020 stellte das Unternehmen SolarWinds fest, dass seine Kernsysteme kompromittiert worden waren. Mithilfe eines Supply-Chain-Angriffs gelang es Angreifern im September 2019, Zugriff auf ein Microsoft365-Konto von SolarWinds zu erlangen.

Dadurch erhielten die Angreifer Zugriff auf den Code von SolarWinds und anderen Systemen und konnten die Code-Signierung missbrauchen. Durch die Bearbeitung des Codes vor der Signierung konnten die Angreifer eine Art Schadsoftware namens Remote Access Trojan (RAT) implementieren, die ihnen Fernzugriff auf die Computer der Opfer ermöglichte.

Dieser RAT war in den Updates der von SolarWinds entwickelten Netzwerküberwachungssoftware Orion versteckt. Dies löste eine Kampagne aus, die eine Befehls- und Kontrollinfrastruktur auf den Geräten der Opfer schuf. Regierungsbeamte, private Organisationen und zahlreiche US-Bundesbehörden waren von SolarWinds betroffen.

Ein weiterer Angriff, bei dem Code-Signing-Missbrauch zum Einsatz kam, war der D-Link-Angriff. Ein Netzwerkausrüster namens D-Link veröffentlichte versehentlich seine privaten Code-Signing-Schlüssel, als er seinen Quellcode für ein Firmware-Update veröffentlichte. In diesem Fall konnten Angreifer diese Schlüssel nutzen, um selbst erstellten Code zu erstellen, die Empfänger jedoch glauben lassen, sie erhielten vertrauenswürdigen Code von D-Link.

Die Bedeutung des Schutzes privater Code-Signaturschlüssel kann nicht genug betont werden, da der Diebstahl Ihrer digitalen Identität zum Verlust sensibler Daten, zu Klagen und mehr führen kann. Beim D-Link-Angriff war nur einer der vier durchgesickerten Signaturschlüssel gültig, doch ein einziges gültiges Zertifikat genügt, um es missbrauchen zu können.

Ein letzter Code-Signing-Missbrauch, den wir besprechen möchten, ist Shadow Hammer. Im Jahr 2019 wurde der Code-Signing-Prozess eines namhaften Computerherstellers namens ASUS kompromittiert. Mithilfe des Live-Update-Dienstprogramms der ASUS-Software veröffentlichten die Angreifer Schadsoftware, um Hintertüren in die Computersysteme Tausender Benutzer zu schaffen.

Da die Malware von ASUS signiert war, aktualisierte das Live-Update-Tool die Systeme, sodass die Angreifer sensible Daten der Opfer stehlen konnten. Schützen Sie Ihre Systeme durch Software-Updates und die Sicherheit Ihrer anderen Systeme, um zu verhindern, dass Ihr Code-Signaturprozess übernommen wird.

Schutz von Code Signing-Zertifikaten

Es gibt eine Reihe verschiedener bewährter Methoden zur Code-Signierung, die befolgt werden können, um sicherzustellen, dass Ihr Code-Signierungsprozess in einer sicheren Umgebung funktioniert. Die Nationales Institut für Wissenschaft und Technologie (NIST) veröffentlicht eine Reihe von Empfehlungen zu bewährten Vorgehensweisen bei Zertifikaten und Code-Signierung für Benutzer. Einige sind offensichtlicher als andere, wir werden sie aber trotzdem alle durchgehen.

1. Sichern privater Schlüssel auf HSMs

   Eine der Schwachstellen vieler Organisationen ist die mangelnde Sicherheit ihrer privaten Schlüssel. Ob in der Cloud oder vor Ort – Hardware-Sicherheitsmodule schützen Ihre privaten Schlüssel umfassend vor Angreifern. Ein Hardware-Sicherheitsmodul ist ein spezialisiertes, äußerst vertrauenswürdiges physisches Gerät, das alle wichtigen kryptografischen Vorgänge wie Verschlüsselung, Entschlüsselung, Authentifizierung, Schlüsselverwaltung und Schlüsselaustausch durchführt.

   HSMs sind spezialisierte Sicherheitsgeräte, deren einziger Zweck es ist, kryptografisches Material zu verbergen und zu schützen. Sie verfügen über ein robustes Betriebssystem und einen eingeschränkten Netzwerkzugriff, der durch eine Firewall geschützt ist. HSMs sind zudem manipulationssicher und manipulationssicher. Da ein lokales HSM physisch zugänglich sein muss, um Schlüssel zu stehlen, gelten sie als eine der besten Möglichkeiten, unerwünschte Benutzer am Zugriff auf private kryptografische Schlüssel zu hindern.

2. Kontrolle des Code Signing-Prozesses

   Allein zwei unserer drei Beispiele für Code-Signing-Missbrauch aus der Praxis zeigen, wie wichtig die Kontrolle des Code-Signing-Prozesses in Ihrem Unternehmen für die Einhaltung bewährter Code-Signing-Praktiken ist. Zur Absicherung des Code-Signing-Prozesses gehört die Verwendung authentischer und sicherer Code-Signing-Lösungen, falls Sie sich für diesen Weg entscheiden.

   Code-Signing-Lösungen bieten die gesamte Infrastruktur zum Signieren von Code und anderen Dokumenten, während Sie sich um die Sicherheit des Systems kümmern. Neben sicheren Code-Signing-Lösungen sind die Kontrolle des Zugriffs auf private Schlüssel, die Validierung von Benutzeridentitäten und die Verwendung der Zwei-Faktor-Authentifizierung bei Code-Signing-Diensten nur einige weitere Möglichkeiten zur Verwaltung Ihres Code-Signing-Prozesses.

3. Code-Validierung

   Vor dem Signieren von Code sollten Anwendungen gründlich auf Schwachstellen oder Malware überprüft werden. Darüber hinaus sollten veraltete Funktionsaufrufe aus dem Code entfernt werden. Durch die doppelte und dreifache Überprüfung des Codes auf Schwachstellen oder Sicherheitslücken kann Ihr Unternehmen die Veröffentlichung unsicheren Codes verhindern, der von Angreifern zum Diebstahl vertraulicher Benutzerdaten ausgenutzt werden kann.

4. Code Signing Devoted Systems

   Um ein Höchstmaß an Sicherheit beim Code-Signing-Prozess zu gewährleisten, sollte das System, das Code-Signing implementiert, NUR Code-Signing durchführen. Auf diese Weise werden Sicherheitslücken durch andere Software vermieden, die Ihre Code-Signing-Dienste beeinträchtigen könnten. In zwei der zuvor erwähnten Fälle von Code-Signing wurde der Code-Signing-Prozess aufgrund von Sicherheitslücken in anderer Software missbraucht.

   Wenn auf einen Computer viele verschiedene Programme heruntergeladen wurden, stellt jede einzelne einen potenziellen Angriffspunkt für Angreifer dar. Zu dieser Vorgehensweise gehört auch, dass das System stets aktualisiert und gepatcht sein sollte, um eine möglichst sichere Umgebung zu gewährleisten.

5. Überprüfung der Zertifikatsgültigkeit

   Beim Betrieb einer PKI müssen Zertifikate validiert werden, bevor sie verwendet werden dürfen. Beim Codesignieren ist es nicht anders. Kein Zertifikat sollte zum Codesignieren verwendet werden, ohne dass seine Gültigkeit überprüft wurde. Zertifikate sollten nicht nur vor dem Codesignieren, sondern auch während des Prozesses auf ihre Gültigkeit geprüft werden. Dies schützt vor möglichen Versehen in der Public-Key-Infrastruktur.

6. Zertifikatslebenszyklusmanagement

   Eine Schlüsselkomponente für den erfolgreichen Betrieb einer PKI ist eine starke Zertifikatslebenszyklus Managementplan vorhanden. Die Schritte des Zertifikatslebenszyklus und die Vorgehensweise zum Sichern von Zertifikaten in jeder Phase sind wie folgt:

   1. Bewertung

      In der Erkennungsphase des Zertifikatslebenszyklus wird das Netzwerk nach fehlenden, abgelaufenen, kompromittierten oder ungenutzten Zertifikaten durchsucht. Werden diese gefunden, müssen sie widerrufen, erneuert oder ersetzt werden. Diese Phase des Lebenszyklus ist äußerst wichtig, da sie Sicherheitslücken in der Public-Key-Infrastruktur aufdeckt und diese an vorhandene Überwachungstools weiterleitet. So können die Sicherheitslücken im System ohne Verlust sensibler Daten geschlossen werden.

      In dieser Verwaltungsphase werden auch die Zertifikate innerhalb der PKI inventarisiert, um zukünftige Discovery-Phasen und eventuelle PKI-Audits zu unterstützen. Die Erkennung schlecht verwalteter oder abgelaufener Zertifikate sollte nur mit vertrauenswürdiger Software erfolgen, da ein fehlendes Zertifikat in der Discovery-Phase dazu führen kann, dass Angreifer dieses Zertifikat für den Missbrauch von Code-Signaturen verwenden können.

   2. Erstellung/Einkauf

      In der Phase „Erstellung/Kauf“ des Lebenszyklus werden die Zertifikate für den Zertifikatsantragsteller erstellt oder erworben. Ein Benutzer oder Gerät sendet eine Zertifikatsignierungsanfrage (CSR) an eine ausstellende Zertifizierungsstelle. Die CSR enthält den öffentlichen Schlüssel und weitere Registrierungsinformationen, die für die Registrierung des Benutzers in der PKI erforderlich sind. Die Zertifizierungsstelle überprüft anschließend die in der CSR enthaltenen Informationen und erstellt, sofern diese gültig sind, das Zertifikat für den Benutzer.

      Die ausstellende Zertifizierungsstelle kann Teil der unternehmenseigenen PKI oder einer Public-Key-Infrastruktur eines Drittanbieters sein. Bei Verwendung einer PKI eines Drittanbieters muss das Zertifikat erworben werden. Beim Erstellen oder Erwerben von Zertifikaten muss die ausstellende Zertifizierungsstelle sicherstellen, dass die in der Anfrage enthaltenen Daten legitim sind, da sich ein Angreifer möglicherweise als eine andere Person ausgibt, um ein Zertifikat für böswillige Zwecke zu erlangen.

   3. Installation

      Die Installation eines Zertifikats ist äußerst wichtig, da ein schlecht installiertes Zertifikat für böswillige Aktivitäten missbraucht werden kann. Der Zugriff auf das Zertifikat muss möglich sein, da Browser und andere Benutzer die Echtheit des Zertifikats überprüfen können müssen.

      Dennoch ist die Sicherheit des Zertifikats während des Installationsprozesses von größter Bedeutung. Um die größtmögliche Sicherheit und Handhabung des Zertifikats zu gewährleisten, legt die Zertifizierungsstelle bei der Installation Richtlinien fest, die sicherstellen, dass nur autorisierte Personen Änderungen am Zertifikat vornehmen können.

   4. Lagerung

      Um Kompromittierungen zu verhindern, ist die Speicherung von Code-Signatur-Zertifikaten unerlässlich, da schlecht gespeicherte Zertifikate von Angreifern gestohlen und verwendet werden können. Wie bereits erwähnt, müssen Zertifikate trotz sicherer Speicherung für Software und andere Benutzer lesbar sein, um die Authentifizierung zu gewährleisten. Nutzen Sie Hardware-Sicherheitsmodule zur Speicherung privater Zertifikatsschlüssel, um eine sichere Speicherung zu gewährleisten.

   5. Überwachung

      Die Überwachung von Zertifikaten und deren Status ist für einen zuverlässigen Code-Signatur-Prozess unerlässlich. Diese Phase findet ständig statt, da Zertifikate jederzeit ablaufen oder verloren gehen können. In der Überwachungsphase werden Zertifikate, die widerrufen, erneuert oder ersetzt werden müssen, anhand des in der Ermittlungsphase erstellten Inventars erfasst.

      Wenn ein Zertifikat ersetzt, erneuert oder widerrufen werden muss, wird es in den nächsten Abschnitt des Zertifikatslebenszyklus verschoben. Für eine ordnungsgemäße Überwachung sollten leistungsstarke, automatisierte Überwachungssysteme vorhanden sein. Die automatisierte Überwachung stellt sicher, dass keine menschliche Überwachung stattfindet und Zertifikate, die in die nächste Phase übergehen müssen, nicht übersehen werden.

   6. Erneuerung

      Ein Zertifikat tritt in die Erneuerungsphase des Zertifikatslebenszyklus ein, wenn es sich seinem Ablaufdatum nähert. Zertifikate sollten ein Ablaufdatum von höchstens fünf Jahren haben, um Best Practices zu entsprechen.

      Je nachdem, ob eine automatische oder manuelle Zertifikatserneuerung eingerichtet ist, können Zertifikate so eingestellt werden, dass sie sich bei nahendem Ablaufdatum automatisch erneuern. Alternativ kann ein Systemadministrator eine Liste aller Ablaufdaten der Zertifikate führen, sodass diese zum richtigen Zeitpunkt manuell erneuert werden können. Es empfiehlt sich, den Erneuerungsprozess zu automatisieren, da menschliche Fehler dazu führen können, dass Zertifikatsablaufdaten übersehen werden.

   7. Widerruf

      Zertifikate müssen gesperrt werden, wenn festgestellt wird, dass sie unsachgemäß verwendet oder anderweitig missbraucht wurden. Beim Sperren eines Zertifikats werden das Zertifikat und seine Daten in eine Zertifikatsperrliste eingetragen.

      Diese Liste wird regelmäßig von Zertifizierungsstellen überprüft, sodass alle Zertifikatsignieranfragen mit denselben Daten abgelehnt werden. Zum Schutz der Widerrufsphase im Zertifikatslebenszyklus sollten die CRLs stets auf dem neuesten Stand gehalten werden, da die Verwendung widerrufener Zertifikate Angreifern Zugriff auf vertrauliche Daten gewährt.

   8. Ersatz

      Die letzte Phase des Zertifikatslebenszyklus ist die Ersetzungsphase. Beim Wechsel vom Kauf zur Erstellung eigener Zertifikate müssen die erworbenen Zertifikate ersetzt werden. Dies geschieht selten, da es viel einfacher ist, ein Zertifikat des ursprünglichen Anbieters einfach zu erneuern, als es zu ersetzen.

      Der Austausch von Zertifikaten sollte nur von vertrauenswürdigen Zertifizierungsstellen durchgeführt werden. Darüber hinaus sollten in jeder Phase des Lebenszyklus nach der Ersetzungsphase bewährte Verfahren befolgt werden, da der Lebenszyklus des Zertifikats neu beginnt, wenn ein Zertifikat durch ein neues ersetzt wird.

Code Signing Services von Encryption Consulting

Um Ihren Code Signing Prozess in jeder Phase zu schützen, werfen Sie einen Blick auf Encryption Consulting's Code Signing-Lösung CodeSign Secure bietet eine sichere und flexible Lösung für Ihre Code-Signing-Anforderungen für alle Betriebssysteme, einschließlich Windows, Linux, Macintosh, Docker sowie Android- und iOS-Anwendungen. Digital signierter Code stellt sicher, dass die auf Computern und Geräten ausgeführte Software vertrauenswürdig und unverändert ist.

Wir schützen Ihre Code Signing Keys mit dem HSM Ihrer Wahl, das FIPS 140-2 Stufe 3 konform. Wir unterstützen Sie bei der Gestaltung von Workflows und Richtlinien, um Ihren Auftragsübermittlungs- und Freigabeprozess zu sichern und zu optimieren. Darüber hinaus integrieren wir Ihre Malware- und Virenerkennungssoftware vollständig in CodeSign Secure, um Ihnen die bestmögliche Überwachung des Code-Signing-Prozesses zu ermöglichen. CodeSign Secure wurde auf Basis einer offenen REST-API entwickelt und ermöglicht individuelle Integrationen und Anforderungen.