Kriminelle missbrauchen Let’s-Encrypt-Zertifikate für Malvertising
Die kostenlosen Zertifikate sollen helfen, die Aktivitäten der Kriminellen zu verbergen – in diesem Fall das Verteilen von Malware über Online-Werbung. Let’s Encrypt ist aber dennoch gegen das Sperren der betroffenen Zertifikate. Stattdessen sieht die Initiative die Anbieter der Werbeanzeigen in der Pflicht.
Kriminelle haben kostenfreie Zertifikate der Initiative “Let’s Encrypt” missbraucht, um Malware auszuliefern. Die Täter kompromittierten dazu eine legitime Website und konfigurierten eine entsprechende Subdomain, wie Trend Micro mitgeteilt hat. Die Subdomain statteten sie mit einem Zertifikat von Let’s Encrypt aus, um sie als seriöse Website auszugeben.
Die Subdomain beinhaltete speziell gestaltete Werbeanzeigen, die Besucher auf Seiten weiterleiteten, die das Exploit-Kit Angler enthielten. Dieses hatte die Aufgabe, eine Banking-Schadsoftware einzuschleusen. Laut Joseph Chen, Fraud Researcher bei Trend Micro, ist es keine Überraschung, dass Internetkriminelle die kostenlose Let’s-Encrypt-Zertifikate für ihre Zwecke ausnutzen. Die Verschlüsselung des Datenverkehrs einer schädlichen Website über das abgesicherte Kommunikationsprotokoll HTTPS helfe dabei, die Aktivitäten der Kriminellen zu verbergen.
Computerworld verweist darauf, dass Let’s Encrypt entschieden hat, die betroffenen Zertifikate nicht für ungültig zu erklären. Die von Mozilla, Cisco, Akamai und der Electronic Frontier Foundation unterstützte Initiative habe bereits im Oktober erklärt, dass Zertifizierungsstellen (Certificate Authority, CA) keine Berechtigung hätten, Inhalte zu überwachen. Let’s Encrypt prüfe aber mithilfe von Googles Safe Browsing API, ob eine Domain, für die ein Zertifikat angefragt wurde, als bedrohlich eingestuft sei.
Chen bemängelt nun diesen Ansatz. Seiner Ansicht nach sollten CAs bereit sein, für illegale Aktivitäten genutzte Zertifikate zu widerrufen. Josh Aas, Executive Director der Internet Security Research Group, die das Project Let’s Encrypt betreibt, hält das Sperren von Zertifikaten allerdings für wirkungslos. “CAs können nicht schnell genug reagieren”, zitiert Computerworld aus einer E-Mail von Aas. Die Angreifer seien jederzeit in der Lage, neue Zertifikate für andere Domains zu beantragen, was eine Certificate Authority nur schwer verhindern könne.
Laut Aas sollten vielmehr die Anbieter von Online-Werbung interne Kontrollen einführen, um schädliche Anzeigen zu stoppen. Das Problem ist der Branche für Online-Werbung laut dem Bericht ebenfalls bekannt. Kriminelle hätten aber auch hier Wege gefunden, die Kontrollen zu überlisten und manipulierte Anzeigen in die Werbenetzwerke einzuschleusen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de