DigiCert ผู้ให้บริการออกใบรับรองเข้ารหัสรายงานเหตุหลังจากมีการแจ้งจากลูกค้าว่ามีใบรับรองสำหรับการเซ็นรับรองโค้ดถูกออกในชื่อขององค์กรต่างๆ จำนวน 60 รายการโดยไม่ได้รับอนุญาต ผลการตรวจสอบพบว่าเครื่องซัพพอร์ตถูกแฮก

คนร้ายอาศัยการติดต่อซัพพอร์ตแล้วแสร้งว่าต้องการส่ง screenshot ให้ซัพพอร์ตช่วยตรวจสอบปัญหา แต่ที่จริงแล้วภายในเป็นไฟล์ .scr ที่ฝังมัลแวร์เอาไว้ คนร้ายพยายามส่งไฟล์นี้อย่างต่อเนื่องหลายครั้ง แต่ถูกดักไว้ได้ด้วยซอฟต์แวร์ความปลอดภัยในเครื่องที่เจ้าหน้าที่ซัพพอร์ตใช้งาน จนไม่สามารถรันมัลแวร์ขึ้นมาได้ แต่คนร้ายก็พยายามส่งไฟล์เดียวกันหาซัพพอร์ตอีกคน ปรากฏว่าเครื่องของเจ้าหน้าที่ซัพพอร์ตคนนั้นกลับไม่ได้ติดตั้ง CrowdStrike เอาไว้ทำให้ปล่อยให้มัลแวร์รันสำเร็จ

ระบบซัพพอร์ตไม่สามารถออกใบรับรองเองได้โดยตรง แต่สามารถออกใบรับรองที่ค้างไว้ได้ ทำให้คนร้ายสั่งรับรองใบรับรองเหล่านี้ออกไปจากระบบ

ทาง DigiCert ยอมรับว่าผิดพลาดที่ไม่จำกัดการรับไฟล์ประเภท .scr และติดตั้ง EDR ไม่ครบทุกเครื่อง รวมถึงใช้การยืนยันตัวตนแบบผูกติดกับเครื่อง (device bound authentication) ทำให้คนร้ายสามารถล็อกอินระบบที่ต้องการล็อกอินสองขั้นตอนได้ทันทีแม้ที่จริงเพียงวางมัลแวร์ในเครื่องได้เท่านั้น

ที่มา - Bugzilla