Dieser Artikel erschien ursprünglich im Security Magazine. Klicken Sie auf den unten stehenden Link, um die vollständige Version zu lesen.
Der APT-Angriff von ASUS im letzten Monat ist für jeden sicherheitsbewussten Branchenbeobachter keine Überraschung - er wirft ein Schlaglicht auf eine seit langem bestehende Schwachstelle in vielen software Lieferketten. Angreifer sind seit Jahren damit beschäftigt, Websites zu fälschen, Anmeldedaten zu stehlen und sich unbefugten Zugang zu verschaffen. Das Einschleusen von bösartigem Code in legitime Tools, die eigentlich dem Schutz dienen sollen, ist die nächste Stufe der Gefährdung von Unternehmen und ihren Kunden. Code Signing wurde als digitales Siegel eingeführt, mit dem ein Unternehmen die Identität des Herausgebers von software überprüfen und sicherstellen kann, dass der Code vor dem Herunterladen nicht manipuliert oder verändert wurde. Wenn die Code-Signing-Zertifikate jedoch nicht ordnungsgemäß verwaltet werden, kann ein Angriff wie der jüngste ASUS-Hack (oder möglicherweise Schlimmeres) die Folge sein.
Im Fall von ASUS nutzten die Angreifer den Code aus, indem sie Malware in eine scheinbar legitime Aktualisierung einschleusten und bereitstellten. Da es keine Möglichkeit gibt, herauszufinden, ob gültige signierte Zertifikate gute oder schlechte Updates enthalten, wurden Unternehmen, die software nutzen und Standard-Updates ausführen, anfällig für Angriffe.
