ben ik wel benieuwd hoe ze dat doen via windows update.
betekend dus, imho, dat MS een meuk besmette servers heeft.
of dat er al een infectie plaats vond, om de DNS te wijzigen.

Een MITM met behulp van ARP spoofing, lijkt me.

Het bewijst maar weer eens hoe onveilig MICROSOFT Windows is.Van XP en ver daarvoor tot en met naar ik nu al vermoedt windows 8 en alle IE browsers.Het vreemde is dat er na wat is het 30 jaar of zoiets nog steeds geen echt alternatief is voor Windows.Linux is ook nog geen volwaardige vervanger,kent heel wat beperkingen,is voor beginnelingen ook al geen optie.Chromium os is een kaal gebeuren waarbij het meeste in the cloud is opgeslagen en mac wordt nu al door malware bedreigt.Bovendien zijn die mac's van apple misdadig duur,voor de prijs van 1 mac heb je 5 acer windows laptops! Tijd voor een echt goed alternatief en waarom moet dat nou weer Amerikaans zijn,laat Europa zelf nu maar eens met iets komen! Laat al die hackers die zo goed de fouten en gaten in windows zien de handen ineenslaan en zelf een beter alternatief besturingssysteem ontwikkelen!Niet de DHZ van Linux,maar met de service als die zoals microsoft geeft,of liefst nog beter.KUNNEN ZE NOG RIJK MEE WORDEN OOK!

Zo zie je maar dat Linux veiliger is.

@spatieman en @0101: voor beide typen aanvallen die jullie noemen moet je al "binnen" zijn. Ik vermoed dat er van een externe DNS aanval (Google: DNS Kaminsky) gebruik is gemaakt waardoor computers van slachtoffers updates niet van de "echte" *.download.microsoft.com, *.download.windowsupdate.com en *.update.microsoft.com etc. ophaalden, maar van 1 of meer gespoofde sites.

Nb. genoemde *.microsoft.com sites zijn feitelijk Akamai sites, Akamai verzorgt de distributie van bestanden voor Microsoft.

Het zou mij niet verbazen als deze aanval onmogelijk was geweest als Microsoft van een dubbele beveiliging gebruik gemaakt had, nl. door de update-bestanden via https te verzenden en de digitale handtekeningen erop te controleren (het Microsoft updateproces verstuurt via http en vertrouwt dus uitsluitend op digitale handtekeningen onder bestanden). Aan de andere kant is het wel zo dat beide mechanismen bouwen op de dezelfde publieke PKI infrastructuur, en gemeenschappelijke fouten zijn dus denkbaar.

Ook had Microsoft hard-coded fingerprints van de certificaten, gebruikt voor het valideren van updates, kunnen opnemen in het Windows subsysteem dat update bestanden ophaalt en installeert. Dan was deze aanval ontdekt (cq niet mogelijk geweest), net zoals destijds de Google webbrowser waarschuwde toen Iraniërs naar een gespoofde GMail site werden gestuurd in plaats van naar de echte.

Ik ben van mening dat we, in elk geval voor hoog-kritische systemen, een soort parallel PKI-achtig systeem zouden moeten hebben om zo een two-factor principe te realiseren. Uitsluitend baseren op PKI is duidelijk een single point of [security] failure...

@anoniem van 16:27 en 16:48: Linux kent vergelijkbare problemen, zie bijv. http://freecode.com/articles/ubuntu-new-apt-packages-fix-security-vulnerabilities-4

Hackers..... zucht.
Steeds maar willen afbreken wat een ander heeft gebouwd.
Ga alsjeblieft iets nuttigs doen.

Windows XP heeft ruim 45 miljoen SLOC, een foutje is zo gemaakt.
Desondanks is een gepatchte Windows XP computer met adequate bescherming behoorlijk veilig.
Voor top-secret gegevens blijft een offline computer de beste oplossing.

1) Er is nog steeds niet duidelijk hoe deze kwetsbaarheid in een algorithme misbruikt is en of een andere crimineel dit heeft kunnen misbruiken;
2) Zelfs al zou je malware als signed by Microsoft maken, dan verklaart dat niet hoe een virusscanner dat zomaar zou doorlaten - of het nu een MS update is of via een andere weg op het systeem komt.

Het ziet er naar uit dat twee partijen enorme gaten hebben laten vallen in de verdediging:
- Microsoft heeft bevoegdheid te ruim uitgedeeld - code signing voor een dienst waar dit niet thuis hoorde. En Microsoft heeft meermaals een zwakte in hun CA-systeem laten zitten;
- Anti-virus leveranciers hebben grof zitten slapen en veel te makkelijk bronnen geloofd op basis van signing met als gevolg te snel bestempelen als goedaardige software.

Het is al heel wat jaren duidelijk dat je niet blind op een CA of signing kan varen en dat je software niet op vermeende afkomst moet geloven. Waarom falen twee giganten van peilers in de ICT-secor dan zo enorm??!!

Linux distro's hebben ook last van gehackte update servers... dus daar kan het ook mis gaan.

Al die berichten over flame... is er een mogelijkheid dat je kan kijken of een PC besmet is of niet?

Het is dan ook een onderdeel van een stuk malware, niet een module van een remote penetration testing toolkit.

Als ik het goed heb begrepen was het mogelijk om de certificaten die Terminal Server Licensing Service aanmaakte niet alleen voor het opzetten van verbindingen te gebruiken maar ten onrechte ook voor het signeren van code, met een certificaatpad dat terugvoerde naar Microsoft's root-CA. Daarmee gaf Microsoft zelf dus te ruime bevoegdheden weg, en daar is misbruik van gemaakt. Dat is geen besmetting of geknoei met DNS, het is een ontwerp- of implementatiefout. Als ik dit inderdaad goed begrepen heb dan kan je het ook geen vals certificaat noemen, dan heeft Microsoft geblunderd door te vergaande bevoegdheden aan jan en alleman uit te delen.

Iran ligt niet in die tijdzone maar in GMT+3 en GMT+4.
In feite ligt maar een hele smalle strook van het midden-oosten in GMT+2.
West Europa ligt gedurende de zomertijd ook in GMT+2.
http://upload.wikimedia.org/wikipedia/commons/1/18/Worldwide_Time_Zones_%28including_DST%29.png