Nvidia-Signature, Verlust von Gültigkeit
 

Ich habe mal eine kleine Frage zum Thema Sicherheit von Signaturen.

In diesem Monat gab es wohl einen Angriff auf Nvidia und dabei wurden Signaturen erbeutet. Diese Signaturen wurden wohl bereits für Malware missbraucht. Sind diese Signaturen ein permanentes Sicherheitsrisiko oder kann man sich daran verlassen, dass Windows Updates bzw. Schutzprogramme auf diese Signaturen angepasst werden?

So etwas passiert immer wieder... den unterschiedlichsten Firmen... fast jeden Monat.


Malware, die insbesondere Treiber/Dienste nutzt, ist auf solche Signaturen angewiesen, da sie sonst unter Windows ggf. nicht funktionieren würden.


Diese Signaturen sind bereits abgelaufen, können jedoch weiterhin von Malware missbraucht werden. Evtl. wird MS diese Signaturen zu einem späteren Zeitpunkt verbieten, aber aktuell ist das wohl nicht geplant.

Schutzprogramme werden bestimmt daraufhin angepasst, jedoch solltest du dich niemals auf dein AV-Programm verlassen, denn 100%igen Schutz gibt es nicht.

Die größt-mögliche Sicherheitslücke/Schwachstelle sitzt im übrigen vor dem PC... ;)

Der Treiber, der einfach von der offiziellen Seite geladen wird ist dabei ja kein Grund zur Sorge. Meine Sorge war eher, dass irgendeine völlig andere Datei mit Hilfe der Signatur legitim wirken könnte, z.B. mit Malware verseuchte Apps in einem Appstore.

Vom original nVidia-Treiber war auch nicht die Rede. Es wird nur die Signierung des Original-Treibers verwendet, damit man Windows vorgaukeln kann: Hey, ich bin signiert, ich darf beim Systemstart mitstarten.

Malware now using NVIDIA's stolen code signing certificates

Es wurden Zertifikate erbeutet und offenbar inklusive passendem geheimem Schlüssel, weil das Zertifikat allein nicht reicht um zu signieren.

Signaturen sind jene "Dinger" die man mithilfe eines Zertifikats und des passenden geheimen Schlüssels beim Signieren erzeugt 😉

Das ist eine gute Frage.

• Dass die Zertifikate inklusive Schlüssel entwendet wurden, wirft kein gutes Licht auf nVidia.
• Mit aktuellen EV-Zertifikaten wäre das nicht passiert, weil dort die geheimen Schlüssel zum Zertifikat nie das Hardwaretoken verlassen hätten. Sprich: erbeutet worden wären Zertifikate ohne passende geheime Schlüssel.
• Kernel-Signing ist kompliziert. Zu dem Zeitpunkt wo die Signaturen geprüft werden, gibt es noch keinen aktiven Zertifikatsspeicher, die entsprechenden Rootzertifikate sind quasi hartkodiert und seit einigen Jahren wird Attestation Signing von Microsoft vorausgesetzt (davor mußte man sich nur die .cat-Datei gegenzeichnen lassen nach erfolgreich durchlaufenen Tests).
• Vermutlich zur Reduktion von Komplexität im KM werden scheinbar auch Signaturen ohne Zeitstempel durchgelassen, sofern sie aus einer bestimmten Zeitspanne stammen (kurz: die Gültigkeitsdauer der Zertifikate überschneidet sich ungünstig mit der "Kulanz" die MS eingebaut hat).

Eigentlich reicht Class 3 inzwischen nicht einmal mehr für gültige Signaturen im KM. Es müssen zwingend EV-Zertifikate sein (mehr Bürokratie, nicht für Einzelpersonen, anderes Rootzertifikat, diverse Flags anders als bei Class 3).

Die Zeitstempel in der Signatur (via Zeitstempelserver validiert) gewährleisten normalerweise dass eine Signatur die erstellt wurde, während das Zertifikat noch gültig war, über die Gültigkeitsdauer des Zertifikats hinaus als gültig eingestuft wird. Aber auch hier gelten x verschiedene Ausnahmeregeln usw. (die sich über die Zeit auch noch ändern); der Kernel scheint in diesem Fall keine Prüfung des Zeitstempels vorzunehmen, was natürlich nicht im Sinne des Erfinders ist. Durch die externe Quelle Zeitstempelserver wird erreicht, dass man den Zeitpunkt der Signaturerstellung nicht vorgaukeln kann (ohne Zeitstempel könnte man dies durch Anpassung der Systemzeit erreichen).

Sofern KM-Malware betroffen ist, würde ich vermuten und hoffen, dass die ELAM-Treiber da dazwischengehen. Aber das was die machen können ist relativ beschränkt (weiß aber auch nicht ob sich seit 2019 noch was getan hat).

Ansonsten kann das eigentlich nur Microsoft wirklich angehen, weil die Rootzertifikate eben quasi hartkodiert sind so früh beim Booten. Und ansonsten kann man auf die On-Access-Scanner hoffen, dass die sowas abfangen, sobald es auf die Platte kommt (also quasi bevor sich so ein Treiber einnistet).

Einige AVs haben ja bereits nachgezogen. So kann zumindest hoffentlich die Installation der jeweiligen bösartigen Treiber vereitelt werden. Würde aber bspw. ein so signierter Treiber auf anderem Wege eingeschmuggelt (offline Windows), wäre das durch AVs ungleich schwerer zu kontern.

Nachtrag: Meines Wissens nach verhalten sich Frischinstallationen der jeweiligen Punktreleases von Windows übrigens anders als Installationen die durch ein Upgrade von 7, 8 oder 8.1 auf Windows 10 gehoben wurden. Würde sonst auch vieeeel zu einfach werden 😁