Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Unfixed Authenticode bug

Reageer met quote
11-06-2025, 21:51 door Erik van Straten, 0 reacties
Uit https://www.bleepingcomputer.com/news/security/connectwise-rotating-code-signing-certificates-over-security-concerns/:
ConnectWise rotating code signing certificates over security concerns
Ik vrees dat dit dit het onderliggende probleem niet verhelpt.

ScreenWise executables
Het artikel van BleepingComputer verwijst naar de executable in https://www.virustotal.com/gui/file/30e1d059262b851a2b432ec856aeba5bb639ba764aa85643703163d62000a2f4/. In het "DETAILS" tabblad valt te zien:
SHA-256: 30e1d059262b851a2b432ec856aeba5bb639ba764aa85643703163d62000a2f4
Authentihash: e10a7605de2f401f20628511df3555aff56405bff1213d9ea82a1a724c6ec7b5

Met weinig moeite vond ik echter ook https://www.virustotal.com/gui/file/12e90e68c3b5c0b3517cfc4db2156433b1be6745b236a40ea77c59017e22c5f9/details:
SHA-256: 12e90e68c3b5c0b3517cfc4db2156433b1be6745b236a40ea77c59017e22c5f9
Authentihash: e10a7605de2f401f20628511df3555aff56405bff1213d9ea82a1a724c6ec7b5
[...]
Names
Screen
Social_Security_Statement_Documents_179347.exe
(Voor die laatste, misleidende, bestandsnaam zie het BleepingComputer artikel).

Voor beide executables is hetzelfde code signing certificaat (en private key) gebruikt (Certificate thumbprint: 4C2272FBA7A7380F55E2A424E9E624AEE1C14579).

Oftewel, er zijn minstens 2 "ScreenWise" executable bestanden in omloop met dezelfde Authenticode handtekening, doch met een verschillende hash berekend over het hele bestand.

Daaruit leid ik af dat de signed executable code zoekt naar configuratiegegevens in hetzelfde bestand, echter in een unsigned deel - waardoor iedereen die configuratiegegevens kan wijzigen zonder de digitale handtekening ongeldig te maken.

MS13-098 of EnableCertPaddingCheck
In https://security.nl/posting/395440 schreef ik onder meer (ik heb hieronder de URL's aangepast):
15-07-2014, 14:36 door Erik van Straten: KB2915720 / MS13-098 stond gepland om te worden geactiveerd op 10 juni maar is uitgesteld tot 12 augustus 2014. Zonder activatie checkt Authenticode de inhoud van het bestand tot en met de authenticode signature waardoor het mogelijk is om achter die signature informatie op te nemen die vervolgens niet onder de handtekening valt. Normaal gesproken kan een aanvaller zo geen code toevoegen die wordt uitgevoerd. Echter, indien een installer al gebruik maakt van deze "feature", kan een aanvaller natuurlijk wel die toegevoegde informatie wijzigen zonder dat dit tot een ongeldige signature leidt.

Voor meer info zie https://blog.didierstevens.com/2013/12/11/ms13-098-fixing-authenticode/ (hierin beschrijft Didier Stevens ook een issue met de registerwaarde EnableCertPaddingCheck) en https://web.archive.org/web/20140913041451/https://blogs.technet.com/b/srd/archive/2013/12/10/ms13-098-update-to-enhance-the-security-of-authenticode.aspx.
Wat ik toen schreef klopt niet helemaal, je kunt niet ongestraft bytes achter de signature plakken, maar moet ze toevoegen aan de tabel met certificaten (en de juiste headers aanpassen). Meer technische info vind je in https://learn.microsoft.com/en-us/archive/blogs/ieinternals/caveats-for-authenticode-code-signing van de hand van Eric Lawrence.

Nb. in https://security.nl/posting/643190 voegde ik aanvullende info toe over EnableCertPaddingCheck (voor 32/64 bit Windows). Of die registerwaarde nog wordt gehonoreerd door de laatste Windows-versies heb ik niet getest.

Blunders van Microsoft en ConnectWise
Microsoft heeft geblunderd door de aangekondigde patch nooit uit te rollen. Dat had de stommiteit, begaan door de programmeurs van ScreenWise, om gegevens buiten het door Authenticode geverifieerde gebied op te nemen en uit te lezen, helpen voorkómen.

In https://www.connectwise.com/company/trust/advisories zie ik o.a.
In addition to issuing new certificates, we are releasing an update to improve how this configuration data is managed in ScreenConnect.
Dat laatste is essentieel, anders heeft een nieuw certificaat geen zin. Het intrekken van het huidige certificaat is een paardenmiddel om te voorkómen dat criminelen al te eenvoudig oudere versies van ScreenWise kunnen blijven manipuleren en ter download aanbieden.

Geen dank aan Microsoft, die al dit leed 12 jaar geleden al had kunnen voorkómen.
Nog geen reacties
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Advertentie