Jah je moet er maar opkomen,
Createf en knap.
Respect. (al is het gene wat ze doen natuurlijk niet goed.)

Ik snap het niet. Hoe kan het dan binnen komen via WU als het geen gebruikt maakit van een exploit of iets anders?

Kan iemand dit aub uitleggen?

Ik zou wel eens willen weten of ik ook besmet ben geraakt n.a.v. windows update.
Op welke manier kom ik daar achter?

Dit betekent dus dat jij en ik ook geïnfecteerd kunnen zijn ? Aangezien ons brave burgers is aangeleerd om het systeem altijd up to date te houden
Bestaat er al een scanner die op dit Flame-virus scant en ook succesvol kan verwijderen ?

Als het goed is zijn wij niet geinfecteerd. Flame deed een man-in-the-middle aanval, en deed binnen een (bedrijfs)netwerk alsof hijzelf de windows-update-server was. Onze computers hebben daar, als het goed is, nooit contact mee gehad.

Maar hoe zit het dan met laptops die en uit het bedrijfsnetwerk worden gesleept en vervolgens thuis aan in het netwerk hangen?

Zoals iemand anders al zei: dit is een man in the middle aanval, bijvoorbeeld door ARP-spoofing te doen binnen een bedrijfsnetwerk, hotelnetwerk, enz.

mogelijk ook middels een dns rewrite aangezienhet bekende sites zijn, dus ook van buiten je eigen netwerk.

Tis natuurlijk te perfect voor woorden om met drie soorten van versleuteling en opgesteld in een intelligente programmeertaal en dan nog alle andere dingen screensdumps, mic. aan zetten etc. . Om landen zoals Iran in de gaten te houden. Ik geloof niet in hun kern programma als energie doel. Plus het feit dat ze zeggen Israël van de kaart te willen vegen. Logisch dat ze zoiets (in mijn ogen prachtigs) maken als flame. Ja ik denk dus dat Israël en de VS flame gemaakt hebben(logisch). Om ze in de gaten te houden en andere hotspots. Binnen een druk op een knop een heel land lam leggen zou een leuke module geweest zijn. Dat zal ze leren. Maar alleen nu ie op straat ligt wie gaat hem gebruiken voor zijn eigen financiële doeleinde of andere bedoelingen?

Dat staat er toch ?

Flame plaatst zich als man in the middle door zich als proxy server voor te doen. Een computer die updates zocht kreeg dan via Flame besmette bestanden binnen.
Het echt bijzondere is dat normaal gesproken die bestanden digitaal ondertekend moeten zijn, en op die manier "updates" van derde partijen buiten te deur hadden moeten blijven.
Echter, Windows accepteerde nog handtekeningen waarbij gebruik gemaakt wordt van de MD5 hash, en die heeft een aantal cryptografische zwakheden . Flame heeft daar gebruik van gemaakt en de geïnfecteerde bestanden kunnen voorzien van een handtekening die Windows Update accepteerde.

Zou je het ook prachtig vinden als China een backdoor had in al je electronische apparatuur (zoals TV, GSM, magnetron, koffiezet apparatuur, de ECU kastje van je auto) en het over een aantal maandjes tegelijkertijd uit zal schakelen? Het is opzicht strategisch gezien een "prachtig" idee vanuit jou ogen toch? Dan schieten ze ons terug de steentijd in en zijn zij economisch gezien de machtigste land in de wereld.

Je klinkt zeer partijdig en ziet de gevaar ervan niet

Ik sluit me helemaal aan bij jou Favela:)

Het is ironisch te moeten constateren dat spionagemalware zoals Flame, ingezet als onderdeel van cyberoorlog, internetcriminelen inzicht in nieuwe briljante aanvalsvectoren verschaffen.

Nu heeft Microsoft wel meteen ingegrepen met (jawel) een Windows Update maar ik ben benieuwd wat voor (Windows) lijken Flame nog meer uit de kast zal doen komen. Ik zou zeggen stay tuned ... het lijkt slechts een kwestie van tijd.

Ik ken niet alle details van de aanval, maar zoals in andere reacties is gezegd moet er in ieder geval alvast één computer in het netwerk besmet zijn, die vervolgens een MitM aanval op Windows Update op het netwerk gaat uitvoeren.
Windows Update is beveiligd o.b.v. certificaten. M.a.w. Windows Update vertrouwt alleen services die een certficaat hebben die door de Microsoft CA is ondertekend.

De aanvallers hebben zo'n certificaat nagemaakt. Ze zijn daaraan gekomen door een bestaand (valide) certificaat te spoofen, waarbij een bestaande MD5-hash overeen komt met een certificaat dat in het verleden al door dezelfde CA is uitgegeven. Ze hebben alle significante gegevens van het oorspronkelijke certificaat gekopieerd en in het nieuwe certificaat gezet, en aangevuld met hun eigen publieke sleutel. Vervolgens kun je de niet-significante informatie in het certificaat continu blijven wijzigen totdat de MD5-hash een keer overeen komt met het oorspronkelijke certificaat. Duurt natuurlijk even maar bij MD5 is het bekend dat dit wel haalbaar is. Vandaar dat MD5-hashes ook niet meer toegestaan zijn in certificaten, voor zover ik weet, maar Microsoft had die hiervoor toch nog gebruikt.
Resultaat: een certificaat dat niet te onderscheiden is van een valide certficaat.

Als je dat voor elkaar hebt, heb je in feite een geldig certificaat, waarbij jijzelf alle cryptografische sleutels hebt gekozen, en kun je je in het netwerk voordoen als een legitieme Window Update Server van Microsoft.

Als laatste passen ze dan het DNS-server adres in het netwerk aan (ARP-spoofing o.id.), waardoor alle Window Update requests automatisch via de rogue DNS-server worden gestuurd, die het verzoek vervogens doorstuurt naar een rogue Windows Update server. Vanaf dat moment is het verder wel duidelijk, denk ik.

Voor je eigen thuiscomputer kun je daarom ook controleren of je gehackt bent, door je DNS-server settings te bekijken. Er zijn bepaalde ranges van IP-adressen bekend die voor de aanval worden gebruikt. Natuurlijk moet je dan alle computers in je netwerk en de router controleren. Als dat allemaal legitieme servers zijn (de US CERT heeft lijsten met rogue IP-adressen uitgegeven om dat te controleren) dan is Flame in ieder geval nog niet actief op je netwerk. Links naar de US CERT etc. vind je in andere berichten rondom het Flame virus op security.nl

Geen idee of er al scanners zijn die flame zelf kunnen detecteren en verwijderen...

er zit geen legetieme versie op mijn PC