Microsoft Trusted Signing-service misbruikt: malware lijkt legitiem
Op die manier kunnen de cybercriminelen beveiligingsfilters omzeilen en verdachte bestanden minder verdacht laten lijken. Code-signingcertificaten zijn al langer een aantrekkelijk doelwit voor cybercriminelen, omdat ze er hun malware (tijdelijk) legitiem mee kunnen laten uitzien. Het ondertekenen van schadelijke bestanden met een certificaat helpt hen om detectie door antivirusprogramma’s te vermijden en waarschuwingsberichten van Windows SmartScreen te onderdrukken.
Bijzonder waardevol zijn Extended Validation (EV)-certificaten, die een strenger verificatieproces vereisen en automatisch een hogere reputatie krijgen binnen beveiligingssystemen. Zulke certificaten zijn echter moeilijk te verkrijgen: aanvallers moeten ze stelen van een bedrijf of zelf een nepbedrijf opzetten en duizenden euro’s betalen. Bovendien worden EV-certificaten snel ingetrokken zodra ze in verband worden gebracht met malware. Het maakt ze dus beperkt bruikbaar.
Microsoft Trusted Signing: een handig achterpoortje
Cybersecurityonderzoekers hebben ontdekt dat hackers de Microsoft Trusted Signing-service gebruiken om hun malware te ondertekenen, zo meldt Bleeping Computer. De cloudgebaseerde dienst bestaat sinds 2024 en laat ontwikkelaars hun software eenvoudig ondertekenen door Microsoft, zonder dat zij zelf een certificaat hoeven aan te vragen. Het platform werkt met korte, drie dagen geldige certificaten, die in theorie snel ingetrokken kunnen worden bij misbruik.
Maar zolang het certificaat niet officieel wordt ingetrokken, blijven de ondertekende bestanden als legitiem beschouwd door Windows en andere beveiligingssystemen. Het geeft hackers dus een kleine opening om hun malware ongemerkt te verspreiden. Onderzoekers vonden al meerdere voorbeelden van malwarecampagnes die de techniek benutten, waaronder de Crazy Evil Traffers-campagne (gericht op crypto-diefstal) en de Lumma Stealer-malware.
Microsoft reageert
Microsoft benadrukt dat het zulk misbruik actief monitort en aanpakt door verdachte certificaten in te trekken en accounts te schorsen. Het bedrijf stelt dat zijn Trusted Signing-service een extra beveiligingslaag toevoegt door certificaten nooit direct aan ontwikkelaars uit te geven, waardoor ze minder snel gestolen kunnen worden. Daarnaast mogen bedrijven pas certificaten aanvragen als ze minstens drie jaar bestaan, al kunnen individuele gebruikers zich wel makkelijker laten goedkeuren als ze akkoord gaan met het gebruik van hun eigen naam.
Ondanks die maatregelen kiezen cybercriminelen er steeds vaker voor om Microsofts certificaten te misbruiken, simpelweg omdat het minder complex is dan het aanvragen of stelen van een EV-certificaat. Volgens een onderzoeker die het fenomeen al jaren volgt, biedt Microsoft een te gemakkelijke route voor cybercriminelen: het verificatieproces is minder streng en de precieze regels rond EV-certificaten zijn onduidelijk, waardoor aanvallers liever voor Microsofts dienst kiezen.
Voorlopig blijft Microsoft inzetten op snelle detectie en certificaatintrekking, maar de vraag blijft hoe effectief dat zal zijn wanneer criminelen zich voortdurend blijven aanpassen.
