Bit9公开了星期五,Hackers从其网络中窃取了数字代码证书,并在三个客户的系统中丢弃恶意软件,展示了安全链中最薄弱的链接有时是供应商。
Bit9公开了星期五,Hackers从其网络中窃取了数字代码签名证书,并在三个客户的系统中丢弃恶意软件,展示了安全链中最弱的链接有时候可以是安全供应商。
Bit9销售技术可防止任何不在客户计算机系统上安装的批准软件的白名单中的应用程序。黑客明显决定通过在供应商本身之后绕过这种通常有效的机制。
犯罪分子利用了“运营监督”,其中供应商未能在其网络内的少数计算机上安装自己的产品。“结果,恶意第三方能够非法获得我们的数字代码签名证书之一,然后他们曾经习惯于非法签署恶意软件,”Bit9首席执行官Patrick Morley在博客帖子中说。
Bit9表示,它发现其产品中没有弱点,它所述的产品没有受到损害。然而,随着证书,犯罪分子能够签署恶意软件并在三个位客户签署它,在3位客户中展示。Bit9没有识别客户。
全球超过1,000个组织使用Bit9技术,包括银行,零售商,能源和国防公司和联邦机构。超过二十多人的客户是财富500强公司。
Bit9拒绝评论,并没有说黑客如何穿透其网络。但是,该公司负责安全漏洞。“我们根本没有遵循我们向客户推荐的最佳实践,通过使我们的产品在Bit9内的所有物理和虚拟机上,”Morley说。
公司采取了一些步骤来关闭漏洞。首先,它撤消了被盗证书并获得了一个新的证书。它还在其所有系统上安装了其产品,并正在为非法签名恶意软件的哈希监控其白名单服务。
[还请参阅:与违规不可避免的,“行为白名单”的Bolsters战斗]
耶利米·格罗斯曼(Jeremiah Grossman),网站安全公司Whitehat Security的创始人和首席技术官表示,黑客最有可能在转向供应商本身之前审判并未能渗透Bit9客户的网络。
“链条中最弱的点不是他们的产品。这是公司的Bit9,”格罗斯曼说。“这实际上与我们在SSL证书颁发机构世界中看到的内容同步。坏人难以自己打破SSL证书,所以他们直接去并定位证书颁发机构。”
盗窃签名证书已在恶意软件中使用了很多次。在2010年发现的臭名昭着的Stuxnet恶意软件用欺诈性证书在获得伊朗核设施的访问中。去年,安全公司确定了多种使用的恶意软件威胁窃取证书以绕过Windows防御。
Gartner分析师Peter Firstbrook表示,Bit9技术可用于阻止包含证书的恶意软件。“这只是耗时的时间,”他在一封电子邮件中说。
尽管如此,盗窃突出了为什么需要非常高的安全性的组织不应自行信任证书。“他们必须验证代码的来源并用哈希标识它,”Firstbrook说。
这个故事,“Bit9说网络被攻击,责备本身”最初发表CSO 。