Het onlangs ontdekte Flame-virus gebruikte certificaten die van Microsoft afkomstig leken, wat meehielp om de malware jarenlang op honderden systemen te verbergen. Ook Microsoft analyseerde het spionagevirus en ontdekte dat een ouder cryptografisch algoritme was misbruikt om code te signeren op een manier dat het om software van Microsoft leek te gaan.
Het gaat dan om de Terminal Server Licensing Service, waarmee het mogelijk is om Remote Desktop services binnen de onderneming te autoriseren. Deze service gebruikt een ouder algoritme dat certificaten opleverde waarmee het mogelijk was om code te signeren, waardoor aanvallers hun code konden signeren alsof die van Microsoft vandaan kwam, zo waarschuwt de softwaregigant. Virusscanners en andere programma's zullen gesigneerde software eerder vertrouwen.
Maatregelen
Microsoft heeft drie stappen genomen om de impact te beperken. Ten eerste is er een Security Advisory uitgegeven zodat systeembeheerders de ongeautoriseerde certificaten die Flame gebruikte kunnen blokkeren. Daarnaast is er een update uitgebracht die deze stap automatisch uitvoert en als derde kan de Terminal Server Licensing Service geen certificaten meer uitgeven om code mee te signeren.
"Deze acties zorgen ervoor dat de malware-onderdelen die door de aanvallers via deze methode zijn gemaakt niet langer meer de mogelijkheid hebben om zich voor te doen alsof ze door Microsoft zijn gemaakt", zegt Mike Reavey, senior director van Microsoft Security Response Center.
Identiteit
De ontdekking zegt mogelijk iets over de identiteit van de aanvallers, aldus Mikko Hypponen van het Finse F-Secure. "Iedereen neemt aan dat de Amerikaanse overheid achter Flame zit. Maar ik denk niet dat ze dan gestolen of vervalste certificaten van Microsoft zouden gebruiken", zo laat de Finse beveiligingsexpert via Twitter weten.
Update 14:05
Hypponen merkt op dat de Microsoft Certificate Authority de meest gewhiteliste CA in de wereld is. "Het vervalsen van een Microsoft code signing certificaat is de heilige graal van malware-schrijvers." Microsoft weet volgens de Finse expert de naam en organisatie van de persoon die het certificaat aanvroeg waarmee Flame gesigneerd is.
Update 15:30
De Nederlandse overheid waarschuwt via de Waarschuwingsdienst dat er een update is uitgekomen om de vervalste Microsoft certificaten in te trekken. "Microsoft heeft een beveiligingsupdate uitgebracht waarmee een kwetsbaarheid in Windows wordt verholpen. De kwaadaardige software (malware) die onlangs werd ontdekt (Flamer), maakt misbruik van een certificaat die door Microsoft is ondertekend. Naar aanleiding van dit incident heeft Microsoft een aantal certificaten ingetrokken. Wij raden je aan de beveiligingsupdate van Microsoft te downloaden en te installeren."
Deze posting is gelocked. Reageren is niet meer mogelijk.