By
Allen Fortschritten zum Trotz, die die Cybersicherheit in den letzten zwanzig Jahren gemacht hat: Gängige Angriffsmethoden wie Phishing bleiben für Unternehmen weiterhin eine große Gefahr. Dies zeigt etwa der Data Breach Investigations Report (DBIR) 2018 von Verizon Enterprise. Von den 53.000 Vorfällen, die Verizon Enterprise im Berichtszeitraum registrierte, war Phishing mit 1.192 Ereignissen die dritthäufigste Angriffsvariante. Zugleich war Phishing die am häufigsten angewandte Social-Engineering-Methode, die Verizon Enterprise beobachtete – ein klarer Hinweis darauf, dass Übeltäter weiterhin Technologien missbrauchen, um menschliche Schwächen auszunutzen.
Der Missbrauch von Technologien kann Phishing-Angriffe sogar noch wirkungsvoller machen. In diesem Artikel werde ich mich auf eine solche Technologie konzentrieren: Wildcard-Zertifikate. Ich werde anhand einiger Beispiele aus der Praxis zeigen, wie Cyberkriminelle das Vertrauen ausnutzen, das Unternehmen in solche Zertifikate setzen. Außerdem gebe ich einige Empfehlungen zum Schutz Ihrer Ressourcen vor Phishing-Betrug.
Kompromittierter Webserver mit Wildcard-Zertifikaten
Wenn Sie ein Wildcard-Zertifikat auf einem öffentlich zugänglichen Webserver verwenden, steigt die Gefahr, dass Cyberkriminelle den Webserver nutzen, um bösartige Websites für Phishing-Kampagnen zu betreiben.
Um zu verstehen, warum das so ist, muss man ein wenig über die Sicherheit von Wildcard-Zertifikaten wissen. Ein Wildcard-Zertifikat ist ein Public-Key-Zertifikat, das von allen Subdomains innerhalb einer größeren Domain verwendet wird. Der Einsatz von Wildcard-Zertifikaten reduziert die Belastung für die Systemadministratoren. Aus sicherheitstechnischer Sicht öffnen diese Zertifikate jedoch die Büchse der Pandora.
Jede Subdomain, die für die Domain auf einem Webserver erstellt wird, der durch ein Wildcard-Zertifikat geschützt wird, verwendet dasselbe Zertifikat. Ein Beispiel: Ein Webserver mit Wildcard-Zertifikat hostet die Domain https://example.com. Jeder, der Zugriff auf diesen Webserver hat, kann eine Subdomain – https://phishing.example.com – mit dem Wildcard-Zertifikat auf dem Server einrichten. Die Besucher merken nicht, dass sie sich auf einer Phishing-Website befinden, weil ihre Browser eine HTTPS-Verbindung mit dem legitimen Wildcard-Zertifikat aufbauen.
Nun fragen Sie sich wahrscheinlich: „Wer würde denn auf so einen simplen Trick hereinfallen? Bestimmt würde jeder die illegitime Website erkennen.“ Das ist aber durchaus nicht immer der Fall.
Laut aktuellen Untersuchungen von Venafi erstellen Angreifer für ihre Phishing-Websites häufig Domains, die sich nur durch wenige Zeichen oder gar Homografen von einer legitimen Domain unterscheiden und dieser somit täuschend ähneln. Auch verwenden die meisten Phishing-Websites lange URLs, um die Tatsache auszunutzen, dass ein User wahrscheinlich nicht durch die gesamte URL scrollen wird. Zusätzlich kürzt der Browser die lange URL auch noch ab. So wird etwa im nachstehenden Beispiel nur der grün markierte Teil angezeigt, die bösartige Website dagegen nicht:
Die Einrichtung einer Subdomain ist genau die Methode, nach der Cyberkriminelle im Sommer 2013 ein Sicherheitsproblem mit einem Wildcard-Zertifikat auf dem Portal der malaysischen Polizei ausnutzten und das Portal für einen Phishing-Angriff missbrauchten.
Gestohlener privater Schlüssel
In den letzten fünf Jahren hat die Malware zum Stehlen von Schlüsseln und Zertifikaten stark zugenommen, und ein florierender Marktplatz für gestohlene Zertifikate ist entstanden. Die Machenschaften der Hackergruppe BlackTech, die mit gestohlenen D-Link-Zertifikaten PLEAD- und DRIGO-Malware signierte, sind ein weiteres Beispiel dafür, wie Cyberkriminelle Angriffe auf die Verschlüsselungs-Assets von Unternehmen durchführen. Genau wie die Kompromittierung eines Webservers bietet auch der Zugriff auf den privaten Schlüssel eines Wildcard-Zertifikats einem Angreifer die Möglichkeit, sich als jedwede Domain auszugeben, die das Wildcard-Zertifikat verwendet (*.example.com).
Als im Jahr 2011 Cyberkriminelle die Zertifizierungsstelle DigiNotar angriffen, gelang es ihnen, ein Google Wildcard-Zertifikat (*.google.com) zu stehlen. Mit einem solchen gestohlenen Wildcard-Zertifikat könnte ein Angreifer eine gefälschte Website für jeden Google-Dienst einrichten und dann mithilfe von DNS-Poisoning Opfer auf den gefälschten Dienst umleiten. Da der Angreifer ein gestohlenes Wildcard-Zertifikat verwendet, erhält das Opfer keine Warnung, wenn es die gefälschte Google-Website besucht.
Neben der Kompromittierung von Zertifizierungsstellen wie DigiNotar können Angreifer die Benutzer mithilfe von digitalen Zertifikaten auch noch auf andere Weise gefährden. Dies veranschaulicht etwa ein Fall im März 2015, als sich ein Unbekannter ein privilegiertes E-Mail-Konto unter der Microsoft-Domain live.fi verschaffte und den Zugriff zur Registrierung eines gefälschten SSL-Zertifikats nutzte. Dieses Zertifikat hätten Übeltäter für Phishing- und/oder Man-in-the-Middle (MitM)-Angriffe missbrauchen können. Immer wieder findet die Sicherheitsindustrie auch Schwachstellen, die Angreifer in die Lage versetzen können, über Wildcard-Zertifikate SSL-Server zu manipulieren.
Gefälschtes Zertifikat
Eine einfachere Option als die Kompromittierung einer CA besteht darin, eine CA dazu zu bringen, ein Wildcard-Zertifikat für ein fiktives Unternehmen auszustellen. Sobald ein Hacker das Wildcard-Zertifikat des fiktiven Unternehmens besitzt, kann er Subdomains erstellen und Phishing-Sites einrichten, die sich als Websites einer beliebigen Organisation ausgeben.
Um Zertifikate für fiktive Unternehmen zu erhalten, wenden sich digitale Angreifer besonders gern an Let's Encrypt. Dies geschieht aus Gründen der Einfachheit und der Kosten. Zum einen sind die von Let's Encrypt erhältlichen Zertifikate nämlich gratis, was die Kosten für die Durchführung von Phishing-Angriffen senkt. Zum anderen automatisiert Let's Encrypt die Zertifizierung, was es leichter macht, sich Zertifikate zu verschaffen.
Angesichts dieser Vorteile überrascht es nicht, dass laut Untersuchungen von Venafi 84 Prozent aller digitalen Zertifikate, die für Doppelgänger-Domains ausgestellt wurden, von Let's Encrypt stammten. So hat der Dienst beispielsweise zwischen dem 1. Januar 2016 und dem 6. März 2017 15.000 Zertifikate ausgestellt, die das Wort „PayPal“ enthielten. Von diesen wurden 95 Prozent für Phishing-Sites verwendet.
Empfehlungen
Es ist offensichtlich, dass Angreifer gerne Wildcard-Zertifikate für Phishing-Mail-Attacken und andere Angriffe nutzen. Zum Glück können Sicherheitskontrollen und Sicherheitslösungen jedoch helfen, solche Angriffe zu blockieren. Wenn Sie solche Abwehrmaßnahmen ergreifen, wird ein Angriff auf Ihr Netzwerk für einen Übeltäter aufwendiger. Ihr Ziel ist es also, die Kompromittierung Ihres Netzwerks so teuer zu machen, dass sich Cyberkriminelle lieber ein anderes Opfer suchen. Denn wie heißt es doch so treffend: Wenn ein Löwe hinter Ihnen her ist, müssen Sie nicht der schnellste Läufer sein – Sie müssen nur schneller sein als die Person hinter Ihnen.
Sie können einen Angriff auf Ihr Unternehmen kostspieliger machen, indem Sie Wildcard-Zertifikate vermeiden. Wildcard-Zertifikate vereinfachen zwar den Geschäftsbetrieb, bieten aber auch hervorragende Chancen für jeden Cyberkriminellen, dem es gelingt, Ihren Webserver zu kompromittieren oder den privaten Schlüssel eines Wildcard-Zertifikats zu stehlen.
Lassen Sie nicht zu, dass Cyberkriminelle Ihre Wildcard-Zertifikate zu bösartigen Angriffskampagnen missbrauchen. Vermeiden Sie die Nutzung von Wildcard-Zertifikaten auf Produktivsystemen und insbesondere auf solchen, die öffentlich zugänglich sind. Stattdessen sollten Sie subdomainspezifische Zertifikate verwenden, die häufig rotiert werden. Wenn die Sicherheit von Wildcard-Zertifikaten kompromittiert wird, kann dies schwerwiegende Folgen haben – doch durch die Verwendung kurzlebiger Zertifikate und den Verzicht auf Wildcards verringern Sie die Auswirkungen eines Angriffs erheblich.
Dieser Blogpost wurde ursprünglich am 18. März 2014 von Gavin Hill veröffentlicht.
Lorem ipsum dolor sit amet, consectetur elit.
Thank you for subscription
Scroll to the bottom to accept
VENAFI CLOUD SERVICE
*** IMPORTANT ***
PLEASE READ CAREFULLY BEFORE CONTINUING WITH REGISTRATION AND/OR ACTIVATION OF THE VENAFI CLOUD SERVICE (“SERVICE”).
This is a legal agreement between the end user (“You”) and Venafi, Inc. ("Venafi" or “our”). BY ACCEPTING THIS AGREEMENT, EITHER BY CLICKING A BOX INDICATING YOUR ACCEPTANCE AND/OR ACTIVATING AND USING THE VENAFI CLOUD SERVICE FOR WHICH YOU HAVE REGISTERED, YOU AGREE TO THE TERMS OF THIS AGREEMENT. IF YOU ARE ENTERING INTO THIS AGREEMENT ON BEHALF OF A COMPANY OR OTHER LEGAL ENTITY, YOU REPRESENT THAT YOU HAVE THE AUTHORITY TO BIND SUCH ENTITY AND ITS AFFILIATES TO THESE TERMS AND CONDITIONS, IN WHICH CASE THE TERMS "YOU" OR "YOUR" SHALL REFER TO SUCH ENTITY AND ITS AFFILIATES. IF YOU DO NOT HAVE SUCH AUTHORITY, OR IF YOU DO NOT AGREE WITH THESE TERMS AND CONDITIONS, YOU MUST NOT ACCEPT THIS AGREEMENT AND MAY NOT USE THE SERVICE.
You shall not access the Service if You are Our competitor or if you are acting as a representative or agent of a competitor, except with Our prior written consent. In addition, You shall not access the Service for purposes of monitoring its availability, performance or functionality, or for any other benchmarking or competitive purposes, and you shall not perform security vulnerability assessments or penetration tests without the express written consent of Venafi.
This Agreement was last updated on April 12, 2017. It is effective between You and Venafi as of the date of Your accepting this Agreement.
The Venafi Cloud Service includes two separate services that are operated by Venafi as software as a service, each of which is separately licensed pursuant to the terms and conditions of this Agreement and each of which is considered a Service under this Agreement: the Venafi Cloud Risk Assessment Service or the Venafi Cloud for DevOps Service. Your right to use either Service is dependent on the Service for which You have registered with Venafi to use.
This License is effective until terminated as set forth herein or the License Term expires and is not otherwise renewed by the parties. Venafi may terminate this Agreement and/or the License at any time with or without written notice to You if You fail to comply with any term or condition of this Agreement or if Venafi ceases to make the Service available to end users. You may terminate this Agreement at any time on written notice to Venafi. Upon any termination or expiration of this Agreement or the License, You agree to cease all use of the Service if the License is not otherwise renewed or reinstated. Upon termination, Venafi may also enforce any rights provided by law. The provisions of this Agreement that protect the proprietary rights of Venafi will continue in force after termination.
This Agreement shall be governed by, and any arbitration hereunder shall apply, the laws of the State of Utah, excluding (a) its conflicts of laws principles; (b) the United Nations Convention on Contracts for the International Sale of Goods; (c) the 1974 Convention on the Limitation Period in the International Sale of Goods; and (d) the Protocol amending the 1974 Convention, done at Vienna April 11, 1980.
In the meantime, please explore more of our solutions
In the meantime, please explore more of our solutions
This site uses cookies to offer you a better experience. If you do not want us to use cookies, please update your browser settings accordingly. Find out more on how we use cookies.