image

Flame-virus gebruikte Microsoft-certificaat

maandag 4 juni 2012, 09:25 door Redactie, 16 reacties

Het onlangs ontdekte Flame-virus gebruikte certificaten die van Microsoft afkomstig leken, wat meehielp om de malware jarenlang op honderden systemen te verbergen. Ook Microsoft analyseerde het spionagevirus en ontdekte dat een ouder cryptografisch algoritme was misbruikt om code te signeren op een manier dat het om software van Microsoft leek te gaan.

Het gaat dan om de Terminal Server Licensing Service, waarmee het mogelijk is om Remote Desktop services binnen de onderneming te autoriseren. Deze service gebruikt een ouder algoritme dat certificaten opleverde waarmee het mogelijk was om code te signeren, waardoor aanvallers hun code konden signeren alsof die van Microsoft vandaan kwam, zo waarschuwt de softwaregigant. Virusscanners en andere programma's zullen gesigneerde software eerder vertrouwen.

Maatregelen
Microsoft heeft drie stappen genomen om de impact te beperken. Ten eerste is er een Security Advisory uitgegeven zodat systeembeheerders de ongeautoriseerde certificaten die Flame gebruikte kunnen blokkeren. Daarnaast is er een update uitgebracht die deze stap automatisch uitvoert en als derde kan de Terminal Server Licensing Service geen certificaten meer uitgeven om code mee te signeren.

"Deze acties zorgen ervoor dat de malware-onderdelen die door de aanvallers via deze methode zijn gemaakt niet langer meer de mogelijkheid hebben om zich voor te doen alsof ze door Microsoft zijn gemaakt", zegt Mike Reavey, senior director van Microsoft Security Response Center.

Identiteit
De ontdekking zegt mogelijk iets over de identiteit van de aanvallers, aldus Mikko Hypponen van het Finse F-Secure. "Iedereen neemt aan dat de Amerikaanse overheid achter Flame zit. Maar ik denk niet dat ze dan gestolen of vervalste certificaten van Microsoft zouden gebruiken", zo laat de Finse beveiligingsexpert via Twitter weten.

Update 14:05
Hypponen merkt op dat de Microsoft Certificate Authority de meest gewhiteliste CA in de wereld is. "Het vervalsen van een Microsoft code signing certificaat is de heilige graal van malware-schrijvers." Microsoft weet volgens de Finse expert de naam en organisatie van de persoon die het certificaat aanvroeg waarmee Flame gesigneerd is.

Update 15:30
De Nederlandse overheid waarschuwt via de Waarschuwingsdienst dat er een update is uitgekomen om de vervalste Microsoft certificaten in te trekken. "Microsoft heeft een beveiligingsupdate uitgebracht waarmee een kwetsbaarheid in Windows wordt verholpen. De kwaadaardige software (malware) die onlangs werd ontdekt (Flamer), maakt misbruik van een certificaat die door Microsoft is ondertekend. Naar aanleiding van dit incident heeft Microsoft een aantal certificaten ingetrokken. Wij raden je aan de beveiligingsupdate van Microsoft te downloaden en te installeren."

Reacties (16)
04-06-2012, 09:55 door Anoniem
Dit holt het vertrouwen in alle certificaten uit.....je betaalt een hoop geld voor niks.
04-06-2012, 10:14 door Anoniem
Wat bedoelen we met "Virusscanners en andere programma's zullen gesigneerde software eerder vertrouwen." Je vertrouwt de inhoud of je doet dat niet. Zijn er virusscanners die software vertrouwen als deze gesigneerd is?
04-06-2012, 10:34 door zatlander
"Iedereen neemt aan dat de Amerikaanse overheid achter Flame zit. Maar ik denk niet dat ze dan gestolen of vervalste certificaten van Microsoft zouden gebruiken"

Ze zaten er nochtans ook niet mee in om een paar 0days te gebruiken. "in war and love all is fair..."
04-06-2012, 12:54 door N4ppy
Door Anoniem: Wat bedoelen we met "Virusscanners en andere programma's zullen gesigneerde software eerder vertrouwen." Je vertrouwt de inhoud of je doet dat niet. Zijn er virusscanners die software vertrouwen als deze gesigneerd is?
Het wel of niet gesigneerd zijn zal een van de (vele) punten zijn. gesigneerd (door een vertrouwde instantie) levert extra punten op (of minder aftrek van)
04-06-2012, 15:37 door 0101
Door Waarschuwingsdienst.nlWij raden je aan de beveiligingsupdate van Microsoft te downloaden en te installeren.
Controleer voor het installeren wel eerst of het bestand digitaal is ondertekend door Microsoft...
:-\
04-06-2012, 15:39 door sjonniev
Helaas met reboot deze fix...
04-06-2012, 16:18 door Rene V
Door sjonniev: Helaas met reboot deze fix...

Dat is vreemd, ik heb 'm net geïnstalleerd maar hoefde niet te rebooten.
04-06-2012, 16:19 door Rene V
Door sjonniev: Helaas met reboot deze fix...

Dat is vreemd, ik heb 'm net geïnstalleerd maar hoefde niet te rebooten.
04-06-2012, 16:23 door Anoniem
Is er een tool om te scannen of je hem hebt?
04-06-2012, 16:59 door Anoniem
Degenen die geen reboot hoeven te doen hebben de valse versie (windows update) te pakken? Zucht..ik geloof dat ik maar LINUX ga installeren.Weg met die Windows meuk!
04-06-2012, 17:42 door Anoniem
Door Anoniem: Degenen die geen reboot hoeven te doen hebben de valse versie (windows update) te pakken? Zucht..ik geloof dat ik maar LINUX ga installeren.Weg met die Windows meuk!
Weer die zure reacties altijd van linux boys.
04-06-2012, 19:28 door Anoniem
massahysterie?
04-06-2012, 20:46 door Anoniem
Door N4ppy:
Door Anoniem: Wat bedoelen we met "Virusscanners en andere programma's zullen gesigneerde software eerder vertrouwen." Je vertrouwt de inhoud of je doet dat niet. Zijn er virusscanners die software vertrouwen als deze gesigneerd is?
Het wel of niet gesigneerd zijn zal een van de (vele) punten zijn. gesigneerd (door een vertrouwde instantie) levert extra punten op (of minder aftrek van)
Gezien alle virusscanners compleet falen op het detecteren van Flame(r)/bitwyper en het kennelijk ongezien na zogenaamde signing van MS al vele jaren op de systemen is gekomen/komt zet dat even heel wat andere vraagtekens bij het wel of niet vertrouwen en de keuze die Security.nl hier maakt om te zeggen dat virusscanners de software eerder vertrouwen.... Uiteindelijk gaat het er om of een virusscanner het accepteert en de beveiligingsmaatregelen van het OS het accepteert. Ik zie dat ze dat allemaal doen zonder dat dit terecht is. Rara hoe komt dat als de software eigenlijk makkelijk te herkennen is aan de uitzonderlijke kenmerken en de ordinaire kenmerken als iedere andere malware..... Er zijn bij vele miljoenen organisaties en personen nu vraagtekens hoe ze nog kunnen vertrouwen op MS en de antivirusbedrijven terwijl die nog steeds de kaken stijf op elkaar houden wat betreft hun falen in de afgelopen jaren en wanneer je je als klant nu wel veilig kan wanen voor deze malware.
04-06-2012, 22:21 door Anoniem
De detectie van het door Microsoft ondertekende aanvalsbestand op VirusTotal: 2/41. Zelfs de virusscanner van Kaspersky zelf herkende het bestand 8 uur geleden nog niet: https://www.virustotal.com/file/70d030e233bf740f22fc0f934b9eb1bf360bcef47a21b0b6f00a3d3a37690d4a/analysis/1338809550/

Wat wel grappig is, in het aanvalsbestand controleren de malwaremakers of de virusscanner van Kaspersky aanwezig is (AVP versie 6, 7 en 8). Er wordt niet gecontroleerd op andere virusscanners. Waarschijnlijk omdat de software van Kaspersky uit Rusland afkomstig is en vwnege het exportverbod geen westerse virusscanners worden verwacht in Iran?
04-06-2012, 23:48 door Anoniem
Windows 7 kan geen update vinden hier. Of is de update al eerder uitgekomen? (paar dagen geleden?)
05-06-2012, 09:17 door Anoniem
Lezen is ook een kunst:

Install this update to resolve an issue which requires an update to the certificate revocation list on Windows systems and to keep your systems certificate list up to date. After you install this update, you may have to restart your system.

May... dus.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.