Nieuws
image

DigiCert gehackt door middel van malafide screensaver-bestand

woensdag 6 mei 2026, 16:24 door Redactie, 14 reacties

De aanvallers die certificaatautoriteit DigiCert wisten te hacken maakten gebruik van een malafide screensaver-bestand. Dat heeft het bedrijf in een incidentrapport laten weten. Bij de aanval werden 27 certificaten gestolen die worden gebruikt voor het signeren van code. De aanvallers gebruikten deze certificaten vervolgens om hun malware mee te signeren. Uiteindelijk besloot DigiCert zestig certificaten in te trekken.

Het incident begon op 2 april, toen de aanvaller een helpdeskmedewerker via een chatkanaal benaderde. Daarbij verstuurde de aanvaller een zip-bestand, dat zogenaamd een screenshot zou zijn. Het zip-bestand bevatte een .scr-bestand. Scr-bestanden zijn screensaver-bestanden, maar ook uitvoerbare bestanden. In dit geval bleek het bestand een malicious payload te bevatten. De beveiligingssoftware die DigiCert gebruikte blokkeerde vier infectiepogingen. Bij een vijfde poging werd de machine van een support-analist geïnfecteerd.

DigiCert detecteerde de infectie en startte vervolgens een onderzoek. De conclusie was dat het incident onder controle was. Elf dagen later wees verder onderzoek uit, na te zijn getipt door een externe onderzoeker, dat ook een tweede machine van een andere analist op dezelfde manier besmet was geraakt. De beveiligingssoftware op dit systeem werkte niet naar behoren, waardoor de infectie niet tijdens het eerdere onderzoek werd opgemerkt.

Via de tweede besmette machine kreeg de aanvaller toegang tot de interne support-portal van DigiCert. Via dit portaal kunnen DigiCert-medewerkers beperkte toegang tot klantaccounts krijgen. Via het portaal kreeg de aanvaller toegang tot codes voor bestelde en nog niet geleverde code signing certificaten, van een beperkt aantal klantaccounts. Met de code en goedgekeurde bestelling kon de aanvaller vervolgens de code signing certificaten in handen krijgen. Op basis van het onderzoek en de gecompromitteerde accounts besloot DigiCert zestig certificaten in te trekken, waarvan er 27 door de aanvallers waren gebruikt.

Volgens DigiCert gingen er verschillende zaken verkeerd, waaronder de controle op bestandstypes binnen de gebruikte supportkanalen. Daarnaast was de endpoint detection en response (EDR)-dekking inconsistent en onvolledig, waardoor er een blinde vlek was. Verder waren de initialisatiecodes van de code signing certificaten niet goed beveiligd. Verder stelt de certificaatautoriteit dat het mazzel had. Een externe onderzoeker ontdekte het misbruik van de certificaten en waarschuwde DigiCert, waarop de tweede besmette machine werd ontdekt.

Reacties (14)
Reageer met quote
06-05-2026, 17:13 door Anoniem
Support die lekker .zip bestanden gaat openen en niet van bestandsextensies afweet. Ja dan geraken ze gemakkelijk binnen. Verder raar ook dat een medewerker aan de private keys geraakt. Die zou het systeem immers gewoon verborgen moeten houden en medewerkers zouden ze alleen maar mogen resetten.
Reageer met quote
06-05-2026, 19:08 door Anoniem
Bij de aanval werden 27 certificaten gestolen die worden gebruikt voor het signeren van code. De aanvallers gebruikten deze certificaten vervolgens om hun malware mee te signeren. Uiteindelijk besloot DigiCert zestig certificaten in te trekken.

/o\

Mosterd na de maaltijd.
Reageer met quote
06-05-2026, 23:45 door Joep Lunaar
Wat er ook loos mag zijn bij DigiCert, een ding is evident: gebruik van MS Windows op werkplekken voor beheer van kritieke infrastructuur is onverstandig, sterker: ongepast. Dat een screensaver - wat moet je überhaupt daarmee op een beheer werkplek - uitvoerbare code en niet slechts data is, maakt duidelijk dat veiligheid van ondergeschikt belang is geweest bij het ontwikkelen van MS Windows en dat zulke fouten een lang leven hebben.
Reageer met quote
07-05-2026, 06:50 door Anoniem
>20 jaar geleden speelde dit al. Je kon een willekeurige executable hernoemen met de screensaver extensie waarbij die automatisch werd uitgevoerd. Blijkbaar na 20 jaar nog steeds niet helemaal gefixed.
Reageer met quote
07-05-2026, 07:51 door e.r.
Dan heb je ècht je beveiliging niet op orde... Welke software, inclusief Windows defender, accepteerd dit nog tegenwoordig...?
Reageer met quote
07-05-2026, 08:40 door Drs Security en Privacy
Door Anoniem: Support die lekker .zip bestanden gaat openen en niet van bestandsextensies afweet. Ja dan geraken ze gemakkelijk binnen. Verder raar ook dat een medewerker aan de private keys geraakt. Die zou het systeem immers gewoon verborgen moeten houden en medewerkers zouden ze alleen maar mogen resetten.
Dit is dus waar het vaak fout gaat, een CA hoort helemaal de private keys niet te hebben noch te genereren.
Ja ik weet het, lekker makkelijk, maar dit is wel het risico dat erbij hoort.
Als klanten slechts een CSR (certificate signing request) aanleveren, hebb je dit risico niet.
Tenzij de aanvaller de CSR vervangt, maar dan zou er wat anders ook fout moeten gaan.
Reageer met quote
07-05-2026, 08:44 door Drs Security en Privacy
Overigens is het wel weer duidelijk dat de redactie hier geen verstand heeft van PKI.
Certificaten zijn per definitie openbaar, dat is het hele idee.
Dus er zijn helemaal geen certificaten gestolen, private keys wel en dat is precies waar het hier fout is gegaan.
En ja daarna maak je het certificaat ongeldig waarbij, als er uberhaupt op gecontroleerd wordt, alles wat er met de private key, die bij de publieke sleutel hoort die in het certificaat zit, ondertekend is ongeldig wordt.
Reageer met quote
07-05-2026, 09:35 door meidoorn - Bijgewerkt: 07-05-2026, 09:37
Door Drs Security en Privacy: Overigens is het wel weer duidelijk dat de redactie hier geen verstand heeft van PKI.
Certificaten zijn per definitie openbaar, dat is het hele idee.
Dus er zijn helemaal geen certificaten gestolen, private keys wel en dat is precies waar het hier fout is gegaan.
En ja daarna maak je het certificaat ongeldig waarbij, als er uberhaupt op gecontroleerd wordt, alles wat er met de private key, die bij de publieke sleutel hoort die in het certificaat zit, ondertekend is ongeldig wordt.
Ik heb het bericht nagetrokken, maar volgens de laatste berichten zijn er geen private keys gestolen. Als die wel gestolen zouden zijn, dan moet vaak een complete trust chain worden vervangen. In potentie een behoorlijke impact voor browsers en besturingssystemen. Maar dat is hier niet het geval.

Wat wél is gestolen zijn de zogeheten initialization codes voor al goedgekeurde EV code-signing certificaten; daarmee konden aanvallers legitieme code-signing certificaten ophalen en gebruiken om malware te signeren.
Reageer met quote
07-05-2026, 10:09 door Briolet - Bijgewerkt: 07-05-2026, 10:12
Door Anoniem: …Verder raar ook dat een medewerker aan de private keys geraakt. Die zou het systeem immers gewoon verborgen moeten houden en medewerkers zouden ze alleen maar mogen resetten.

Ik lees nergens dat er private keys bemachtigd zijn. Als het goed is kent Digi-Cert die ook niet. Als een klant een certificaat bestelt, stuurt die alleen een CSR file (Certificate Signing Request) naar Digi-Cert, die op grond daarvan een certificaat genereert.
Reageer met quote
07-05-2026, 11:06 door Anoniem
De mens is een zwakke schakel, maar antivirus die vier keer ingrijpt en de vijfde keer het doorlaat is natuurlijk ook wel een dingetje.
Reageer met quote
07-05-2026, 11:38 door Anoniem
Door Joep Lunaar: Wat er ook loos mag zijn bij DigiCert, een ding is evident: gebruik van MS Windows op werkplekken voor beheer van kritieke infrastructuur is onverstandig, sterker: ongepast. Dat een screensaver - wat moet je überhaupt daarmee op een beheer werkplek - uitvoerbare code en niet slechts data is, maakt duidelijk dat veiligheid van ondergeschikt belang is geweest bij het ontwikkelen van MS Windows en dat zulke fouten een lang leven hebben.

Dit slaat absoluut helemaal nergens op. Echt bijzonder hoe je tot zo'n conclusie kan komen, daags na een copy-fail kwetsbaarheid in linux waar onder normale usercontext een escalation of privilege doodsimpel bleek.
Of de jaren aanwezige kwetsbaarheid in SSH.
Elk systeem is kwetsbaar als je niet de juiste mitigerende maatregelen treft, of je gebruikers op alles blijven klikken. Dat heeft niks met Windows of Linux te maken.
Reageer met quote
Gisteren, 07:55 door Anoniem
Wat ik opmaak uit de rapportage: De "initialization codes" die zijn gestolen zijn een soort "bearer tokens" die de klant kan invoeren in speciale software van de CA die runt bij de client. Vervolgens wordt daarmee een key paar gegenereerd (al of niet in een HW device) en wordt de public key opgestuurd en verwerkt tot ern certificaat. (Dus, dat lijkt op de "csr-workflow"). Het onveilige is, dat is dat alle controle vooraf is gedaan (een soort goedgekeurde werkorder) maar dat de public key pas later wordt aangeboden aan de CA met de initialization code gebruikt voor autorisatie. Hackers hebben dus niet private keys gestolen; ze genereerden zelf hun keys om daarna hun public key te laten signen bij de CA . Er is natuurlijk ook niet letterlijk een certicaat gestolen (want die zijn publiek).
Reageer met quote
Gisteren, 22:57 door Anoniem
Onvoorstelbaar dat .scr-bestanden niet geblokkeerd worden. Wie applocker gebruikt - moet daar van gespaard kunnen blijven? Of werkt dat niet voor .scr-files (die security-aanvallen bestaan al meer dan 15 à 20 jaar). Waarom loopt men daar nog altijd in?
Reageer met quote
Vandaag, 13:56 door Anoniem
Door Anoniem: Onvoorstelbaar dat .scr-bestanden niet geblokkeerd worden. Wie applocker gebruikt - moet daar van gespaard kunnen blijven? Of werkt dat niet voor .scr-files (die security-aanvallen bestaan al meer dan 15 à 20 jaar). Waarom loopt men daar nog altijd in?

Omdat Windows een inherent onveilig product is.. standaard wordt de .scr extensie nog steeds verborgen / onzichtbaar gemaakt voor de eindgebruiker. Alleen dat simpele feit maakt het wel duidelijk dat Microsoft geen enkele intentie heeft om Windows veiliger te maken. Er zijn tientallen oplossingen te bedenken zoals een simpele regel dat .scr bestanden enkel gestart mogen worden onder de systeemfolders van Windows. Dat is natuurlijk nog steeds niet ideaal maar geeft al aan dat zelfs zo'n simpele fix niet eens wordt doorgevoerd in 2026...

Standaard applocker ingeschakeld zou inderdaad ook een grote verbetering zijn. Maaaaaaarrrr ja, Microsoft is het enige bedrijf dat beveiliging achter een betaalmuur stopt. Dus Windows Home gebruikers moeten dan weer achter het net vissen...

De beste oplossing is gewoon geen Windows gebruiken.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components