Violazione di sicurezza DigiCert: come i certificati EV sono stati compromessi tramite attacco screensaver

Violazione di sicurezza DigiCert: come i certificati EV sono stati compromessi tramite attacco screensaver

Violazione di sicurezza DigiCert: come i certificati EV sono stati compromessi tramite attacco screensaver

Introduzione per utenti non tecnici

DigiCert, un’autorità di certificazione di rilievo mondiale, ha subito un attacco informatico sofisticato che ha portato al furto di 60 certificati digitali di alta qualità utilizzati per firmare software. Questi certificati, noti come Extended Validation (EV) Code Signing certificates, sono essenzialmente il “timbro di approvazione” del mondo digitale: quando li vedi su un software, significa che proviene da un’azienda legittima e verificata.

Il problema: gli hacker hanno utilizzato questi certificati rubati per firmare malware (software dannoso), facendo sì che i computer degli utenti considerassero il software malevolo come legittimo e sicuro. È come se qualcuno avesse contraffatto il sigillo di autenticità di un’azienda nota per vendere prodotti falsi.

La soluzione rapida: DigiCert ha revocato tutti i 60 certificati compromessi entro 24 ore dalla scoperta, impedendo ulteriori danni. Tuttavia, se hai scaricato software durante il periodo della violazione (inizio-metà aprile 2026), è consigliabile verificare che il tuo antivirus sia aggiornato e eseguire una scansione completa del sistema.

Come è iniziato l’attacco

L’incidente è iniziato a inizio aprile 2026 quando un attaccante sofisticato ha contattato il team di supporto clienti di DigiCert attraverso un canale Salesforce chat. L’hacker ha inviato ripetutamente un file ZIP camuffato da screenshot di un problema cliente ordinario. All’interno di questo archivio era nascosto un file eseguibile malevolo con estensione .scr (screensaver), contenente un payload pericoloso.

Diverse volte i sistemi di sicurezza di DigiCert hanno bloccato il file nei primi quattro tentativi di consegna. Tuttavia, al quinto tentativo, il file è riuscito a compromettere il computer di un analista del supporto tecnico. Un sensore di sicurezza CrowdStrike malfunzionante su questo specifico endpoint ha permesso alla violazione di rimanere inosservata durante i primi controlli dell’azienda.

L’accesso al portale interno

Una volta ottenuto il controllo del computer dell’analista, gli hacker hanno avuto accesso al portale di supporto interno di DigiCert. Hanno utilizzato uno strumento specifico che consente agli analisti di visualizzare gli account dal punto di vista del cliente. Sebbene questo accesso fosse limitato e non permettesse agli attaccanti di inviare nuovi ordini o modificare password, ha esposto una vulnerabilità critica.

Gli hacker hanno potuto accedere ai codici di inizializzazione per i certificati EV Code Signing che erano stati approvati ma non ancora consegnati. Con accesso a questi codici e agli ordini già approvati, gli attaccanti hanno potuto ottenere certificati validi fraudolentemente attraverso account di clienti diversi.

L’entità della violazione

DigiCert ha identificato che gli attaccanti hanno generato con successo 60 certificati EV Code Signing distribuiti su quattro diverse Autorità di Certificazione. I certificati sono stati emessi utilizzando i nomi di aziende tecnologiche legittime e ben note, tra cui Lenovo, Kingston, Shuttle Inc. e Palit Microsystems.

Dei 60 certificati rubati, almeno 27 sono stati direttamente collegati ad attività malware. La comunità di cybersecurity ha segnalato che questi certificati di fiducia sono stati utilizzati attivamente per firmare digitalmente il malware Zhong Stealer, una famiglia di malware nota. Per precauzione, DigiCert ha trattato tutti i 60 certificati come completamente compromessi.

Le azioni di contenimento e risposta

Una volta compresa la portata completa della violazione a metà aprile, DigiCert ha intrapreso azioni immediate per contenere la minaccia. Tutti i 60 certificati compromessi sono stati revocati entro 24 ore dalla scoperta, e tutti gli ordini di firma del codice in sospeso esposti durante la finestra di compromissione sono stati cancellati.

Per proteggere la propria infrastruttura da attacchi simili, DigiCert ha implementato diversi aggiornamenti critici del sistema. L’azienda ha distribuito modifiche al codice immediate per nascondere completamente i codici di inizializzazione dagli utenti del supporto sia a livello di interfaccia utente che a livello API. Inoltre, DigiCert ha sospeso gli account dell’analista interessato e disabilitato Okta FastPass per il portale di supporto, applicando requisiti di autenticazione multi-fattore (MFA) più rigorosi.

Technical Deep Dive

Analisi tecnica del vettore di attacco

L’attacco ha sfruttato una combinazione di ingegneria sociale e vulnerabilità di configurazione della sicurezza. Il file .scr (screensaver) è un formato eseguibile legittimo in Windows, ma raramente monitorato con la stessa attenzione dei file .exe tradizionali. Questo ha permesso al payload di eludere i filtri di sicurezza iniziali.

La vulnerabilità critica risiedeva nel sensore CrowdStrike malfunzionante, che ha rappresentato un singolo punto di errore nella strategia di rilevamento delle minacce. Questo sottolinea l’importanza della ridondanza nei sistemi di sicurezza e della necessità di verifiche indipendenti del corretto funzionamento degli agenti di sicurezza.

Architettura di accesso al portale di supporto

L’accesso al portale di supporto tramite le credenziali compromesse ha rivelato una separazione insufficiente dei privilegi. Lo strumento di visualizzazione dell’account dal punto di vista del cliente non dovrebbe mai esporre i codici di inizializzazione dei certificati, indipendentemente dal livello di accesso dell’utente. L’implementazione ideale avrebbe dovuto includere:

  • Mascheramento dei dati sensibili a livello di database con visibilità granulare basata su ruoli
  • Logging e monitoraggio di ogni accesso ai dati di inizializzazione dei certificati
  • Crittografia end-to-end dei codici di inizializzazione con chiavi gestite separatamente

Implicazioni sulla catena di fiducia PKI

L’incidente ha dimostrato una vulnerabilità fondamentale nell’infrastruttura a chiave pubblica (PKI). I certificati EV sono considerati tra i più affidabili perché sottoposti a verifiche di identità rigorose. Tuttavia, questa violazione ha mostrato che la sicurezza della CA stessa è critica quanto i processi di verifica iniziali.

Gli attaccanti non hanno dovuto falsificare alcuna verifica di identità; hanno semplicemente sfruttato l’accesso interno per bypassare completamente questi controlli. Questo evidenzia la necessità di implementare:

  • Architetture zero-trust anche per il personale interno
  • Separazione fisica dei sistemi critici di generazione dei certificati
  • Audit indipendenti da terzi sulla sicurezza della CA

Mitigazioni implementate

Le misure di sicurezza implementate da DigiCert rappresentano best practice dell’industria, ma rivelano anche le lacune precedenti:

  • Nascondere i codici di inizializzazione a livello di API indica che precedentemente erano esposti inutilmente
  • Disabilitare Okta FastPass suggerisce una dipendenza eccessiva da un singolo fattore di autenticazione
  • MFA rigorosa dovrebbe essere stata mandatoria fin dall’inizio per tutti gli accessi ai sistemi critici

Le organizzazioni dovrebbero considerare l’implementazione di attestazione hardware per operazioni critiche di certificazione, garantendo che le azioni sensibili richiedano l’intervento di dispositivi di sicurezza fisici che non possono essere compromessi da malware software.

Fonte: https://gbhackers.com/digicert-hacked-in-screensaver-based-attack/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto