image

VeriSign trekt gestolen JMicron certificaat in

woensdag 21 juli 2010, 11:49 door Redactie, 4 reacties

Het gestolen certificaat van hardwarefabrikant JMicron, dat door een nieuwe variant van de Stuxnet-worm werd gebruikt, is door VeriSign ingetrokken. Het was het tweede certificaat dat de malware gebruikte. Bij de eerste aanval ging het om het certificaat van Realtek. Het intrekken van het certificaat betekent echter niet dat gebruikers geen risico meer lopen.

De Stuxnet-worm kan de gecertificeerde drivers nog steeds zonder waarschuwing installeren. De actie van Microsoft en VeriSign zorgt er alleen voor dat de aanvallers geen aanvullende malware met het ingetrokken certificaat kunnen signeren. Het is echter mogelijk dat de aanvallers ook over de certificaten van andere bedrijven beschikken. Zowel Realtek als JMicron hebben beide kantoren op het Hsinchu Science en Industrial Park. Daarnaast is er ook malware in omloop die certificaten steelt.

Drivers
Voor zowel Realtek als JMicron betekent het dat ze alle nieuwe drivers nu met een nieuw certificaat moeten signeren. Al eerder gesigneerde drivers blijven gewoon werken. Volgens Costin Raiu van Kaspersky Lab zijn er nog geen aanwijzingen dat ook de drivers van beide partijen geïnfecteerd zijn geraakt.

De virusbestrijder verwacht echter dat er in de toekomst meer gesigneerde malware zal verschijnen. Eerder waarschuwde ook al het Finse F-Secure in de presentatie “It's Signed, therefore it's Clean, right?“, voor dit fenomeen.

Reacties (4)
21-07-2010, 13:17 door Anoniem
F-Secure's presentatie is erg verhelderend. Mijn software signing gebeurt nooit door een batch file, maar ik kan me voorstellen dat het bij veel bedrijven wel zo gebeurt, dan is het wachtwoord dus in plain text te lezen.
21-07-2010, 13:36 door [Account Verwijderd]
[Verwijderd]
21-07-2010, 14:03 door Anoniem
Deze? http://csc3-2004-crl.verisign.com/CSC3-2004.crl
21-07-2010, 15:54 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.