Handtekening MSI-bestand ongewijzigd bij toevoegen malware

[iEscape]

Aanvallers kunnen Java-malware aan gesigneerde MSI-bestanden toevoegen zonder dat de digitale handtekening van het bestand veranderd en deze aanvalsvector is door VirusTotal waargenomen. VirusTotal is de online virusscandienst van Google waar mensen verdachte bestanden naar toe kunnen uploaden, die vervolgens door tientallen virusscanners worden gecontroleerd.

Softwareontwikkelaars kunnen bestanden signeren, zodat gebruikers de identiteit van de ontwikkelaar kunnen vaststellen en weten dat het bestand niet is aangepast. Als een gesigneerd .exe-bestand wordt aangepast zal Windows de digitale handtekening namelijk niet meer als geldig beschouwen. De aanwezigheid van een digitale handtekening zorgt er ook voor dat sommige beveiligingspakketten geen diepgaande scan bij gesigneerde bestanden uitvoeren.

Onderzoekers van VirusTotal hebben echter ontdekt dat het mogelijk is om in het geval van gesigneerde MSI-bestanden wel code aan het bestand toe te voegen, zonder dat Windows vervolgens alarm slaat. Het aangepaste bestand doorstaat het verificatieproces en zal de originele handtekening laten zien, zonder enige waarschuwingen. Op deze manier zou een aanvaller kwaadaardige code aan het MSI-bestand kunnen toevoegen, die vervolgens bij het openen van het bestand ook wordt uitgevoerd.

 

Klik hier om het artikel te lezen.