Cybercriminelen maken misbruik van het Trusted Signing-platform van Microsoft door malware-uitvoerbare bestanden te ondertekenen met kortdurende certificaten van drie dagen.

Dreigingsactoren zijn al lange tijd op zoek naar code-ondertekeningscertificaten omdat deze kunnen worden gebruikt om malware te ondertekenen, zodat het lijkt alsof ze van een legitiem bedrijf afkomstig zijn.

Ondertekende malware heeft ook het voordeel dat het mogelijk beveiligingsfilters kan omzeilen die normaal gesproken niet-ondertekende uitvoerbare bestanden zouden blokkeren, of ze op zijn minst minder verdacht behandelen.

Het ultieme doel voor dreigingsactoren is het verkrijgen van Extended Validation (EV) code-ondertekeningscertificaten, omdat ze automatisch een hogere mate van vertrouwen genieten van veel cyberbeveiligingsprogramma’s vanwege het strengere verificatieproces. Bovendien is men van mening dat EV-certificaten een reputatieboost krijgen in SmartScreen, waardoor waarschuwingen die normaal gesproken voor onbekende bestanden worden weergegeven, kunnen worden omzeild.

EV code-ondertekeningscertificaten zijn echter moeilijk te verkrijgen, omdat ze moeten worden gestolen van andere bedrijven of dreigingsactoren valse bedrijven moeten opzetten en duizenden dollars moeten uitgeven om er een te kopen. Bovendien wordt het certificaat, zodra het in een malwarecampagne is gebruikt, meestal ingetrokken, waardoor het onbruikbaar wordt voor toekomstige aanvallen.

Misbruik van de Microsoft Trusted Signing-service

Onlangs hebben cyberbeveiligingsonderzoekers gezien dat dreigingsactoren gebruikmaken van de Microsoft Trusted Signing-service om hun malware te ondertekenen met kortdurende, drie-daagse code-ondertekeningscertificaten.

Deze malwaremonsters worden ondertekend door "Microsoft ID Verified CS EOC CA 01" en het certificaat is slechts drie dagen geldig. Hoewel het certificaat drie dagen na afgifte verloopt, is het belangrijk op te merken dat uitvoerbare bestanden die ermee zijn ondertekend nog steeds als geldig worden beschouwd totdat de uitgever het certificaat intrekt.

Sindsdien hebben andere onderzoekers en BleepingComputer talloze andere voorbeelden gevonden die worden gebruikt in lopende malwarecampagnes, waaronder die in een Crazy Evil Traffers crypto-diefstalcampagne [VirusTotal] en Lumma Stealer [VirusTotal]-campagnes.

De Microsoft Trusted Signing-service, die in 2024 is gelanceerd, is een op de cloud gebaseerde dienst die ontwikkelaars de mogelijkheid biedt om hun programma’s eenvoudig door Microsoft te laten ondertekenen.

"Trusted Signing is een complete code-ondertekeningsdienst met een intuïtieve ervaring voor ontwikkelaars en IT-professionals, ondersteund door een door Microsoft beheerde certificeringsautoriteit," aldus een aankondiging van Microsoft voor de dienst.

"De dienst ondersteunt zowel openbare als privévertrouwensondertekenscenario’s en omvat een timestampservice."

Het platform heeft een maandabonnementsdienst van $9,99 ontworpen om het voor ontwikkelaars gemakkelijk te maken om hun uitvoerbare bestanden te ondertekenen, terwijl het ook extra beveiliging biedt.

Deze verhoogde beveiliging wordt gerealiseerd door het gebruik van kortdurende certificaten die eenvoudig kunnen worden ingetrokken bij misbruik en door de certificaten nooit rechtstreeks aan de ontwikkelaars uit te geven, waardoor ze in geval van een datalek niet kunnen worden gestolen.

Microsoft zegt ook dat certificaten die via de Trusted Signing-service worden uitgegeven, een soortgelijke reputatieboost in SmartScreen geven aan uitvoerbare bestanden die door zijn dienst zijn ondertekend.

"Een Trusted Signing-handtekening zorgt ervoor dat je applicatie wordt vertrouwd door basisreputatie te bieden op SmartScreen, gebruikersmodusvertrouwen op Windows en conformiteitsvalidatie via integriteitscontroles," aldus een FAQ op de Trusted Signing-site.

Om misbruik tegen te gaan, staat Microsoft momenteel alleen toe dat certificaten op bedrijfsnaam worden uitgegeven als dat bedrijf al drie jaar actief is.

Individuen kunnen zich echter aanmelden en gemakkelijker worden goedgekeurd als ze ermee instemmen dat de certificaten op hun naam worden uitgegeven.

Een eenvoudigere weg

Een cybersecurity-onderzoeker en ontwikkelaar die bekend staat als ‘Squiblydoo,’ die al jaren malwarecampagnes volgt die certificaten misbruiken, vertelde BleepingComputer dat ze geloven dat dreigingsactoren overstappen naar de dienst van Microsoft uit gemakzucht.

"Ik denk dat er een paar redenen zijn voor de verandering. Lange tijd was het gebruik van EV-certificaten de standaard, maar Microsoft heeft veranderingen in EV-certificaten aangekondigd," vertelde Squiblydoo aan BleepingComputer.

"Echter, de veranderingen in EV-certificaten zijn eigenlijk niet duidelijk voor iedereen: niet voor certificaatverschaffers, niet voor aanvallers. Maar door deze mogelijke wijzigingen en gebrek aan duidelijkheid kan het hebben van een code-ondertekeningscertificaat voldoende zijn voor de noden van aanvallers."

"In dit opzicht is het verificatieproces voor Microsoft’s certificaten aanzienlijk eenvoudiger dan het verificatieproces voor EV-certificaten: vanwege de onduidelijkheid over EV-certificaten is het logisch om de Microsoft-certificaten te gebruiken."

BleepingComputer nam contact op met Microsoft over het misbruik en kreeg te horen dat het bedrijf gebruikmaakt van dreigingsinformatie monitoring om certificaten te vinden en in te trekken zodra ze worden gevonden.

"We gebruiken actieve dreigingsinformatie monitoring om constant te zoeken naar misbruik of oneigenlijk gebruik van onze ondertekeningsservice," vertelde Microsoft aan BleepingComputer.

"Wanneer we dreigingen detecteren, nemen we onmiddellijk maatregelen zoals brede certificaatintrekking en accountsuspensie. De door u gedeelde malwaremonsters worden door onze antimalwareproducten gedetecteerd en we hebben al stappen ondernomen om de certificaten in te trekken en verder accountmisbruik te voorkomen."

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----