Nieuws
image

Flame verspreidde valse Windows updates via netwerk

dinsdag 5 juni 2012, 09:41 door Redactie, 5 reacties

Er zijn meer details openbaar gemaakt over de manier waarop het Flame spionagevirus computers via Windows Update infecteerde. Gisteren werd bekend dat Flame valse Microsoft certificaten gebruikte om Windows Update te misleiden. Nu blijkt dat via één besmette computer in het netwerk van de aangevallen organisatie de overige machines werden geïnfecteerd.

"Windows 7 machines werden op een zeer verdachte manier via het netwerk geïnfecteerd", zegt Kaspersky Lab analist Aleks Gostev. Zodra een nog niet geïnfecteerde machine verbinding met Windows Update probeerde te maken, werd dit verzoek onderschept en naar de al geïnfecteerde machine doorgestuurd. Vervolgens kreeg de nog niet geïnfecteerde computer vanaf de al besmette computer een kwaadaardige Windows Update waar Flame in zat verstopt.

CAB-bestand
Voor het infecteren van computers via Windows Update werden 8 CAB-bestanden gebruikt. Eén bevatte een speciaal ontwikkeld programma genaamd WuSetupV.exe. Dit programma is met een vals Microsoft certificaat gesigneerd, zodat het besturingssysteem tijdens de installatie van de overige CAB-bestanden geen waarschuwing geeft.

Deze 'Gadget' downloader van Flame zou op 27 december 2010 zijn gecompileerd en op 28 december met het valse certificaat zijn gesigneerd. Uiteindelijk werd het op 11 januari 2011 aan het CAB-archief toegevoegd. "Dit is één van de interessantste en meest complexe kwaadaardige programma's die we ooit hebben gezien", aldus Gostev.

Reacties (5)
05-06-2012, 11:36 door M_iky
Waarbij ik het zeer verdacht vind dat dit zonder medeweten (-werking) van de Redmond-reus me ook niet mogelijk lijkt?
05-06-2012, 14:18 door [Account Verwijderd]
[Verwijderd]
05-06-2012, 15:13 door Erik van Straten
Uit http://www.securelist.com/en/blog/208193558/Gadget_in_the_middle_Flame_malware_spreading_vector_identified:
The interception of the query to the official Windows Update (the man-in-the-middle attack) is done by announcing the infected machine as a proxy for the domain. This is done via WPAD. To get infected, the machines do need however to have their System Proxy settings configured to “Auto”.
Ik zag gisteravond dat notabene mijn eigen XPSP3 notebook, direct na opstarten, een DNS lookup deed van WPAD (in m'n thuis-LAN heb ik geen domain extensie zoals .example.com), waarop de DNS server van mijn ISP -gelukkig- "no such name" terugmeldde...

(update: ik zie net dat https://secure.security.nl/artikel/41769/1/Microsoft%3A_Flame_gebruikte_cryptografische_collission-aanval.html melding maakt van de aanval via WPAD).

Die DNS request voerde mijn notebook niet uit omdat ik een webbrowser had gestart, maar omdat Microsoft Update van de IE engine gebruik maakt. Direct daarna werd namelijk een DNS lookup van download.windowsupdate.com uitgevoerd (update: gisteren vermoedde ik nog dat de Flame aanval werd uitgevoerd via een DNS spoofing attack, zodanig dat je een ander IP-adres terugkrijgt op die request, zie mijn bijdrage in https://secure.security.nl/artikel/41759/1/Flame_besmet_computers_via_Windows_Update.html). Onmiddellijk daarna werden, deels via http, deels via https, gegevens opgehaald waaruit mijn notebook afleidde dat er een update beschikbaar was voor mijn notebook.

Nu heb ik verschilende zaken uitgezet op mijn notebook (o.a. de server service en NetBIOS over TCP/IP), daarom zie ik geen NetBIOS WPAD lookups (broadcast in LAN), maar ben nu wel afhankelijk van de betrouwbaarheid van de DNS server van mijn ISP voor een complete proxy instelling, niet alleen voor DNS requests. Hier moet ik dus wel wat aan doen!

Voor degenen die niet weten wat WPAD is (ik wist het ook niet goed): dit is een methode voor webbrowsers (ooit bedacht door Netscape als ik me niet vergis) om "aan het netwerk" om proxy instellingen te vragen. Als dat via een broadcast op LAN gebeurt en op dat LAN is een PC gecompromitteerd, dan is een aanval natuurlijk heel eenvoudig.

Vergelijkbare aanvallen zijn denkbaar via DHCP spoofing, maar moderne switches in bedrijfsnetwerken helpen die aanvalsmogelijkheid te voorkomen.

Weet iemand hoe je WPAD betrouwbaar en voor alle webbrowsers uit kunt zetten?
05-06-2012, 17:43 door Anoniem
Hallo,

Nu ik met Total Commander aan het zoeken ben geslagen op WuSetupV.exe vind hij deze in de regel

C:\windows\softwaredistribution\selfupdate\handler\*.* De dir is aangemaakt op 02-10-2009.

Kan ik deze dir zonder problemen nu verwijderen of heb ik dan geen windows update meer ?

Alvast bedankt.
05-06-2012, 21:19 door Anoniem
Volgens mij kun je WPAD (dhcp optie 252) onder Windows 7 en VIsta uitzetten door de WinHTTP Web Proxy Auto-Discovery Service uit te schakelen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure