Im September 2021 deckten Experten für digitale Sicherheit einen weit verbreiteten Angriff auf Windows-Nutzer auf. Der Angriff nutzte Malware, um auf Websites eine gefälschte Warnung über abgelaufene Zertifikate zu verbreiten, die die Nutzer zum Herunterladen eines Updates aufforderte, das in Wirklichkeit bösartige software enthielt und den Hackern Fernzugriff auf die infizierten Computer ermöglichte.
Im Folgenden erfahren Sie, wie der Angriff durchgeführt wurde, was wir bisher über seine Auswirkungen wissen und wie Sie Ihr Unternehmen künftig vor solchen Bedrohungen schützen können.
Innerhalb des Angriffs: Wie Hacker gefälschte Warnungen über abgelaufene Zertifikate erstellten
Ziel des Angriffs waren die Windows Internet Information Services (IIS), der Microsoft-Webserver, der auf allen Windows-Versionen seit Windows 2000, XP und Server 2003 installiert ist.
Wenn anfällige Benutzer bestimmte Websites besuchten, wurde ihnen eine Fehlerseite mit einem Hinweis auf ein potenzielles Sicherheitsrisiko und der Empfehlung angezeigt, ein aktualisiertes Sicherheitszertifikat herunterzuladen, um fortzufahren.
Wenn Sie auf das Update klicken, wird ein gefälschtes Update-Installationsprogramm heruntergeladen, das mit einem Zertifikat der Digicert Root Certificate Authority signiert ist. Dieses Update enthielt die als TVRAT bekannte Malware, die über die TeamViewer-Fernsteuerung software vollen Fernzugriff auf jedes Gerät ermöglicht, auf dem sie installiert ist. Die TVRAT-Malware wurde auch bei einem Angriff im Jahr 2013 mit Microsoft Office-Anhängen verwendet.
Nach Abschluss der Installation erhielten die Hacker eine Benachrichtigung und konnten so die Kontrolle über die infizierten Geräte übernehmen.
Die Auswirkungen des Angriffs: Was wir bis jetzt wissen
Leider ist dieser Angriff nur das jüngste Beispiel für eine Reihe von Angriffen auf Windows IIS.
In den letzten Jahren sind mehrere andere Sicherheitslücken in IIS aufgetreten, darunter zwei weitere im Jahr 2021: Eine verwurmbare Sicherheitslücke, für die Microsoft im Mai einen Patch herausgegeben hat, und eine fortgeschrittene, anhaltende Bedrohung, die auf einigen Exploits einer als Praying Mantis bekannten Gruppe basiert und im August auf Windows IIS abzielte.
Insgesamt macht diese Angriffsserie nicht nur auf bestimmte Schwachstellen aufmerksam, sondern unterstreicht auch die Bedeutung regelmäßiger Sicherheitsupdates und der allgemeinen Aufklärung der Benutzer.
Der Angriff auf gefälschte abgelaufene Zertifikate verdeutlicht vor allem, wie wichtig es ist, den Lebenszyklus von Zertifikaten transparent zu gestalten, um potenzielle Risiken wie diese besser zu verstehen.
Gelernte Lektionen: Schutz für Ihr Unternehmen
Bei näherer Betrachtung lassen sich aus diesem Angriff zwei wichtige Lehren ziehen, die Sicherheitsteams dabei helfen können, ihre Unternehmen künftig vor Bedrohungen wie dieser zu schützen:
1) Unterschätzen Sie nicht die Bedeutung des PKI-Managements
Eine effektive PKI-Verwaltung kann die nötige Transparenz und Berichterstattung bieten, um potenziellen Problemen wie dem Angriff mit den gefälschten abgelaufenen Zertifikaten zuvorzukommen.
Erstens können Sicherheitsteams mit geeigneten Scan- und Erkennungsfunktionen leicht feststellen, ob ein Zertifikat auf einem Server installiert wurde. Es kann auch zusätzliche wichtige Details liefern, z. B. wann es installiert wurde, wer es installiert hat und sogar den Zweck des Zertifikats. Diese Informationen können den Teams helfen, die Kontrolle über die Zertifikate im gesamten Unternehmen zu behalten.
Zweitens können mit einem System, das ein vollständiges Inventar von Zertifikaten bereitstellt, Anomalien schnell erkannt werden, so dass die Sicherheitsteams frühzeitig untersuchen können, was vor sich geht, um zu verhindern, dass sich kleine Probleme zu noch größeren auswachsen.
2) Machen Sie die Endnutzer durch Aufklärung zu einem Teil der Lösung
Darüber hinaus ist es wichtig zu erkennen, dass Endbenutzer entweder eine Sicherheitsschwäche oder einen Sicherheitsgewinn darstellen können, je nachdem, wie sie geschult werden.
Idealerweise sollten die Teams die Benutzer über eine Reihe wichtiger Sicherheitsmaßnahmen aufklären, einschließlich der Tatsache, dass sie niemals ein Zertifikat akzeptieren oder installieren sollten, das ihnen nicht bekannt ist. Auch wenn dies für Sicherheitsexperten, die tagtäglich mit diesem Thema zu tun haben, einfach erscheinen mag, kann die Zeit, die man sich nimmt, um Endbenutzer über eine Reihe von Best Practices aufzuklären, sehr viel dazu beitragen, von Menschen verursachte Schwachstellen zu verringern (z. B. das Herunterladen eines gefälschten Zertifikats durch Benutzer).
Was kommt als Nächstes?
Der Angriff mit dem gefälschten abgelaufenen Zertifikat vom September 2021 ist nicht zu übersehen. Bei diesem Angriff wurde Malware eingesetzt, um eine sehr realistisch aussehende Warnung zu erstellen, einschließlich eines von einer angesehenen Stammzertifizierungsstelle signierten Zertifikats, mit dem Ziel, ein bösartiges Programm herunterzuladen, um Hackern Fernzugriff auf Geräte zu ermöglichen.
Es mag das jüngste Beispiel eines ausgeklügelten Angriffs sein, aber es wird sicher nicht das letzte sein. Sicherheitsteams sollten sich über die neuesten Bedrohungen wie diese auf dem Laufenden halten, um zu verstehen, wie sich Angriffe weiterentwickeln und wie sie ihre Sicherheitsvorkehrungen weiter verbessern und die Benutzer schulen können, um ihre Unternehmen auch in Zukunft zu schützen.