Microsofts Offenlegung der Operation von "Malware-signing-as-a-Service" bekannt als Fox Temper ersetzt im Zentrum die kritische Schwachstelle des modernen Software-Ökosystems: Zentrales Vertrauen in Zertifikate und unterzeichnete Dienstleistungen. Microsoft behauptet, ein Netzwerk, das seinen Cloud-signed Service (Artifact Signing) genutzt hat, um temporäre Zertifikate, die Malware und Ransomware als legitime Software an Windows und andere Verteidigungen übergeben.
Dass ein krimineller Schauspieler in der Lage war, mehr als tausend Zertifikate zu generieren und Hunderte von Mietern und Abonnements in Azure zu montieren, erforscht ein Modellversagen statt ein isoliertes technisches Versagen: Die Angreifer kombinieren Identitätsdiebstahl, Cloud-Infrastruktur und illegale Märkte, um den Ruf eines Lieferanten in eine Waffe zu verwandeln. Microsoft hat technische und rechtliche Maßnahmen getroffen - einschließlich des massiven Widerrufs von Zertifikaten und der Beschlagnahme des Signspace [.] Cloud-Domain - und hat eine Klage eingereicht, um solche Maßnahmen in den Gerichten zu unterstützen ( Text des Falles)
Aus betrieblicher Sicht ist die Taktik zu verwenden Kurzzeitzertifikate (72 Stunden) ist smart für Angreifer, weil es das Fenster reduziert, in dem traditionelle Mechanismen des Rufs und der Analyse punkten und böswillige Binaries blockieren können. Gleichzeitig erleichtert die Unterzeichnung von Installateuren mit Namen und Redakteuren, die legitime Anwendungen imitieren (Teams, AnyDesk, PuTTY, Webex) die Supplantierung und Lieferung von Lastern, die die Bereitstellung von Ransomware wie Rhysida oder Stealer Familien beenden.
Dies stellt eine wesentliche Frage zu Cloud Signing Services: Wie kann man Agilität für Entwickler mit Identitäts- und Erkennungskontrollen ausgleichen, die Missbrauch verhindern? Microsoft dokumentiert einen Teil seiner Forschung auf seinem Security-Blog, wo es den Fall und die getroffenen Aktionen erklärt ( Microsoft-Analyse) Aber die Lösung kann nicht allein dem Lieferanten überlassen werden: Organisationen, Softwarehersteller und Infrastrukturbetreiber müssen ihre Kontrollen anpassen.
Für Sicherheitsteams und Manager ist die erste praktische Empfehlung, dass digitale Signatur allein ist keine absolute Garantie. Prüfen Sie die signierten Anwendungen, die in Ihrer Umgebung ausgeführt werden, widersprechen Sie der Telemetrie der Signaturen mit Rufquellen und markieren Sie jede signierte binäre mit ephemeren Zertifikaten oder ausgestellt durch neue Konten oder mit Zeichen gestohlener Identität. Stärken Sie die Integritäts- und Ausführungsrichtlinien (z.B. Windows Defender Application Control oder EDR / NGAV-Lösungen mit Signaturausführungskontrolle) und setzen Sie spezifische Warnhinweise für die von ungewöhnlichen Emittern signierten Ausführbaren fest.
Die Verantwortlichen für Software und unterschriebene Dienste sollten ihre KYC (Wissen Sie Ihren Halter) und Identitätsprüfungsprozesse überprüfen und verschärfen, die Erkennung von missbräuchlichen Mustern (z.B. Massenemission von neuen Konten, Verwendung von Fremden-Proxy oder VMs) einführen und zusätzliche Grenzwerte und Kontrollen anwenden, wenn Kurzzeit-Zertifikatsaufträge für Hochrisiko-Biare erfasst werden. Der Sektor braucht auch bessere Kanäle des Austauschs von Betrugssignalen, um koordinierte Blockaden und Überschneidungen zu beschleunigen.
Für Systemnutzer und Administratoren ist es angezeigt, grundlegende Praktiken zu stärken: Download-Software nur aus offiziellen Quellen, überprüfen Sie den Emittenten und Unterschriftsdetails, wenn sie ausführbar installiert sind, und misstrauen unaufgeforderte Mail- oder Messaging-Installateure. In Unternehmensumgebungen, Netzwerksegmentierung, verifizierten Backup- und Event-Antwortverfahren, die die Möglichkeit betrügerisch unterzeichneter Binaries berücksichtigen.
Schließlich gibt es eine Regulierungs- und Designdimension, die Aufmerksamkeit verdient: Dienstleistungen, die das öffentliche Vertrauen erleichtern sollten, sollten indigene Anti-Abuse-Mechanismen als Ansehen des Antragstellers, automatische Vetoe für Betrugszeichen und verstärkte Anforderungen an hohes Vertrauen oder Kurzzeitzertifikate. Die Erfahrung mit Fox Temper zeigt, dass die Gewinne hoch sind und dass Kriminelle in Professionalisierungsmaßnahmen investieren, die "Signatur als Service" in illegalen Märkten anbieten.
Diese Krise ist ein Aufruf an kollektive Maßnahmen: Anbieter wie Microsoft können und müssen Kontrollen und Transparenz verbessern, aber Organisationen müssen Prozesse und Werkzeuge anpassen, um nicht ausschließlich vom "X-signed"-Indikator abzuhängen. Für mehr Kontext auf dem Cloud-Service beteiligt und seine Eigenschaften, siehe die offizielle Artifant / Trusted Signing Seite von Azure ( Azure Artifact Signing), und überprüfen Sie die Einzelheiten des Falles und die Beweise von Microsoft in der rechtlichen Dokumentation ( Prozessdokumente)
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...