Nvidias geleakte Code-Signing-Zertifikate missbraucht
Die Einbrecher haben bei Nvidia auch Code-Signing-Zertifikate entwendet und veröffentlicht. Mit denen werden nun Angriffs-Tools signiert.
(Bild: Sashkin/Shutterstock.com)
Im Rahmen des Einbruchs bei Nvidia hat Lapsus offenbar auch zwei sogenannte Code-Signing-Zertifikate gestohlen und in Umlauf gebracht. Sicherheitsforscher entdecken erste Malware, die damit unterschrieben wurde und so Sicherheitsmechanismen umgehen kann. Durch die Leaks offengelegte, private APIs der privilegierten Nvidia-Treiber könnten sich ebenfalls als Sicherheitsproblem erweisen.
Die beiden offenbar in Umlauf geratenen Code-Signing-Zertifikate dienen dazu, etwa Hardware-Treiber zu signieren, damit sie Windows ohne Beanstandung lädt. Die 64-Bit-Versionen von Windows fordern nämlich für alle Kernel-Erweiterungen eine digitale Signatur des Herstellers. Mit den geleakten Zertifikaten kann Schadsoftware allerhöchste Rechte – nämlich die des Kernels – auf einem System erlangen und sich damit sehr effizient vor dem Anwender verstecken. Alternativ könnte Schadsoftware sich diese Rechte auch erschleichen, indem sie Funktionen legitimer Nvidia-Treiber missbraucht; anders als das Code-Signing-Szenario ist das jedoch bislang eine eher theoretische Gefahr.
Der Sicherheitsexperte Florian Roth hat bereits mehrere, angeblich von NVidia signierte Tools entdeckt, die gerne von Angreifern genutzt werden. Mimikatz etwa kratzt unter anderem NTLM-Hashes für Pass-the-Hash-Angriffe aus dem Arbeitsspeicher infizierter Systeme und KDU bietet einen direkten Zugang zu Kernel-Funktionen, mit denen man zum Beispiel Prozesse verstecken kann. Eine Verwendung in tatsächlicher Malware, also Ransomware oder Rootkits, lässt sich zumindest in öffentlich zugänglichen Quellen noch nicht beobachten, erklärte Roth gegenüber heise Security.
Falle Rückwärtskompatibiltät
Die gestohlenen Code-Signing-Zertifikate von NVidia sind zwar bereits 2014 beziehungsweise 2018 abgelaufen. Doch sie lassen sich trotzdem missbrauchen, um etwa an der Signatur-Pflicht für Windows-Kernel-Treiber vorbeizukommen. Diese enthält nämlich einige Ausnahmen zur Rückwärtskompatibilität, die die Nutzung älterer Treiber erlauben sollen. So lädt Windows Treiber auch dann, wenn das Zertifikat zwar bereits abgelaufen ist, aber zum Zeitpunkt der Unterschrift noch gültig war. Dazu muss das Binary zwar eigentlich einen verifizierten Timestamp enthalten; für Treiber älter als 2015 entfällt das aber ebenfalls.
Die Seriennummern der gestohlenen Zertifikate lauten "43 BB 43 7D 60 98 66 28 6D D8 39 E1 D0 03 09 F5" und "14 78 1b c8 62 e8 dc 50 3a 55 93 46 f5 dc c5 18". Eine passende Yara-Regel spürt damit signierte, verdächtige Binaries auf. Gerüchteweise war das Passwort für den geheimen Schlüssel "nv1d1aRules".
(ju)
