Die Zertifizierungsstelle DigiCert hat im April mehrere Zertifikate zur Signierung von Programmen („Code Signing Certificate“) an Malware-Autoren ausgegeben. Diese hatten zuvor Kundendienstmitarbeiter bei DigiCert mit Schadsoftware angegriffen und deren Rechner übernommen. Weil verschiedene Schutzmaßnahmen versagten, erlangten die Kriminellen Zugriff auf ein geschütztes Kundenportal – inklusive aller notwendigen Informationen, um die Zertifikate abzurufen.

Hinter den Angreifern steckt wohl die Gruppierung, die für den „Zhong Stealer“ verantwortlich ist. Die Gruppe spezialisiert sich auf Attacken gegen Kundendienstler. Sie infizierte zwei PCs von DigiCert-Mitarbeitern und konnte so auf eine Funktion zugreifen, die den Kundenzugang im DigiCert-Portal simuliert. Dort lagen die Initialisierungs-Codes für Zertifikate bereit, die – zusammen mit einem Hardware-Token und einer entsprechenden Software beim Kunden – nicht nur den Abruf der Zertifikate, sondern auch des zugehörigen Schlüsselmaterials ermöglichen.

Die Angreifer kaperten auf diese Art insgesamt 27 Zertifikate und nutzten diese, um Malware zu signieren und somit an Windows‘ Smart Screen vorbeizuschleusen. Bei internen Ermittlungen fand DigiCert 33 weitere Zertifikate und verschiedene verdächtige Bestellungen und zog sie innerhalb von 24 Stunden nach Bekanntwerden zurück.

In der Ursachenanalyse identifiziert DigiCert gleich mehrere unzureichende Schutzmaßnahmen: So war auf einem der beiden kompromittierten Rechner offenbar gar kein CrowdStrike-Sensor installiert – dort tummelten die Kriminellen sich zehn Tage lang. Auf dem zweiten Rechner gab es zwar einen Alarm, die Malware lief aber trotzdem. Konzeptionelle Lücken in der Risikoanalyse für Zertifikats-Initalisierungscodes erlaubten den Abruf der wertvollen Zertifikate und das Salesforce-Kundenportal leistete dem Unternehmen ebenfalls einen Bärendienst. Es leitete die Schadsoftware, eine .scr-Datei im ZIP-Format, blindlings an die Support-Mitarbeiter weiter und bot so einen idealen Nährboden.

Auch EU-Unternehmen betroffen

Unter den betroffenen Kunden sind die PC-Hersteller Shuttle, Lenovo und Palit, aber auch Tencent, der Betreiber des Videodienstes TikTok und das Leipziger Security-Unternehmen DigiFors. Insgesamt umfasst die von DigiCert gemeldete Liste 61 Zertifikate von Organisationen in dreizehn Ländern, überwiegend in Asien. Doch auch EU-Unternehmen sind betroffen: Neben einer deutschen GmbH sind je eine Firma aus der Schweiz, Frankreich, Polen und Portugal betroffen.

Weiteres Ungemach erwartete DigiCert zur Walpurgisnacht von Microsoft. Der Redmonder Softwarekonzern hatte am 30. April mit einem Signaturupdate der hauseigenen Antiviruslösung Defender eine Erkennung für die Schadsoftware „Trojan:Win32/Cerdigent.A!dha“ hinzugefügt, die unter bestimmten Bedingungen zwei Wurzelzertifikate der CA („DigiCert Assured ID Root CA“ und „DigiCert Trusted Root G4“) kurzerhand aus dem Windows-Trust-Store entfernte. Somit konnten auf betroffenen Windows-PCs keine TLS-Verbindungen zu Webseiten mit DigiCert-Zertifikaten aufgebaut werden.

Doch ob ein Zusammenhang zwischen beiden Vorkommnissen besteht, bleibt zweifelhaft: Zwischen dem letzten zurückgezogenen Malware-Zertifikat und dem fehlerhaften Signatur-Update liegen fast zwei Wochen und in der aktuellen Liste der von Microsoft akzeptierten Wurzelzertifikate sind die Zertifikate weiterhin enthalten.

DigiCert ist nicht das erste Mal in zertifikatsbedingten Schwierigkeiten: Im vorvorigen Jahr sah das Unternehmen sich mit einer Klageandrohung eines Kunden konfrontiert. Dieser weigerte sich, kurzfristig seine wegen Formfehlern zurückgezogenen Zertifikate auszutauschen. Es ist in guter Gesellschaft: Die Bundesdruckerei-Tochter D-Trust hatte aus demselben Grund über die Osterfeiertage tausenden Admins Sonderschichten beschert.

(cku)

Derzeit hat die Sorry-Ransomwaregruppe cPanel- und WebHost-Manager-Instanzen (WHM) im Visier. Sicherheitsforschern zufolge gab es weltweit schon mehr als 44.000 erfolgreiche Attacken. Admins müssen die Sicherheitspatches umgehend installieren.

Hintergründe

Vor den laufenden Angriffen warnt die Shadowserver Foundation auf X. Ihrer Statistik zufolge hat es hierzulande schon mehr als 4000 Instanzen der Server- und Websitemanagementsoftware getroffen. Die „kritische“ Schwachstelle (CVE-2026-41940) ist seit Ende vergangener Woche bekannt. Auch die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) warnt vor Attacken und ordnet für US-Behörden die zügige Installation der Sicherheitsupdates an.

Setzen Angreifer erfolgreich an der Lücke an, können sie die Authentifizierung umgehen und auf Systeme zugreifen. Wie die Attacken im Detail ablaufen, ist derzeit unklar. Haben sich Angreifer Zugang zu Computern verschafft, laden sie die Sorry-Ransomware ab, die Daten verschlüsselt und Lösegeld einfordert.

Im Forum der IT-Nachrichten-Website Bleepingcomputer.com tauschen sich Opfer des Verschlüsselungstrojaners aus. Zurzeit gibt es keine Möglichkeit, die Daten zu entschlüsseln.

Jetzt updaten!

In einer Warnmeldung bieten die cPanel-Entwickler neben den gepatchten Versionen zudem ein Skript an, mit dem Admins bereits attackierte Instanzen erkennen können. Dort gibt es auch weitere Sicherheitstipps, wie Admins nun am effektivsten gegen die Attacken vorgehen können. Diese cPanel-Ausgaben sind gegen die derzeit laufenden Attacken gerüstet:

• 11.86.0.41
• 11.110.0.97
• 11.118.0.63
• 11.126.0.54
• 11.130.0.19
• 11.132.0.29
• 11.136.0.5
• 11.134.0.20
• WP Squared-Version 136.1.7

(des)

Sind Attacken auf das Netzwerkanalysetool Wireshark erfolgreich, können Angreifer Systeme abstürzen lassen oder sogar Schadcode ausführen. Dagegen stehen abgesicherte Ausgaben zum Download bereit.

DoS- und Schadcodelücken

Im Changelog für die Versionen 4.4.15 und 4.6.5 versichern die Entwickler, die Schwachstellen geschlossen zu haben. Der Großteil der Lücken ist mit dem Bedrohungsgrad „mittel“ eingestuft (etwa CVE-2026-6520). Nach erfolgreichen Attacken können Angreifer etwa im Kontext des OpenFlow-v6-Protokolls DoS-Zustände auslösen, was zu Abstürzen führt.

In vier Fällen (CVE-2026-5402 „hoch“, CVE-2026-5403 „hoch“, CVE-2026-5405 „hoch“, CVE-2026-5656 „hoch“) können Angreifer auch Schadcode einschleusen und die Systeme kompromittieren. Bislang sind keine aktiven Angriffe bekannt. Admins sollten die Updates dennoch zeitnah installieren.

(des)