image

Microsoft: Flame gebruikte cryptografische collission-aanval

dinsdag 5 juni 2012, 11:03 door Redactie, 1 reacties

Om het Flame spionagevirus met een geldig Microsoft certificaat te signeren, gebruikten de aanvallers niet alleen de terminal server licensing service certificaten, maar ook een cryptografische collission-aanval. Dat laat Mike Reavey van het Microsoft Security Response Center weten. "Het signeren van code zonder een collission uit te voeren is ook mogelijk. Dit is een manier om systemen te compromitteren die andere aanvallers tegen klanten kunnen gebruiken die niet oorspronkelijk het doelwit van de Flame-malware waren."

NetBIOS
Reavey stelt dat Windows Update alleen te spoofen is via een ongeautoriseerd certificaat in combinatie met een man-in-the-middle-aanval is te gebruiken. In het geval van Flame werd die opgezet via 'NetBIOS WPAD hijacking'. De SNACK-module van Flame kaapt NetBIOS requests op het lokale netwerk.

WPAD
Zodra een nog niet besmette computer een computernaam op het netwerk probeert te resolven of een WPAD request verstuurt, laat de met Flame besmette machine weten dat het de WPAD-server is en biedt vervolgens een WPAD-configuratiebestand aan. In dit bestand staat dat de nog niet besmette computer de met Flame geïnfecteerde machine als proxy moet instellen.

Daardoor kan Flame een request naar Windows Update kapen en vervolgens de besmette Windows updates aan de schone computer aanbieden, aldus Symantec.

Reacties (1)
06-06-2012, 00:44 door Whoops
Sorry, kan het niet laten :)

Wat ?
Wat ?
Wat ?
Dat !
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.