21:26
4/6/2012

Microsoft oświadczył, że twórcy trojana Flame podpisali jego fragmenty przy pomocy …podrobionego certyfikatu Microsoftu. Microsoft właśnie rozpoczął procedurę blokowania tych certyfikatów przy pomocy mechanizmów Windows Update.

Certyfikaty do podpisywania kodu

Microsoft podejrzewa, że twórcy Flame’a wykorzystali usługę Terminal Server Licensing Service służącą do autoryzacji usługi Remote Desktop (przy pomocy generowanych przez TSLS certyfikatów można było podpisywać kod). Mike Reaevey z Microsoft Security Response Center nie tłumaczy jednak jak przestępcy podrobili certyfikat Microsoftu — wspomina jedynie o wykorzystaniu słabości “starego algorytmu kryptograficznego” (nie określono jaki to algorytm, podejrzewa się jednak, że może chodzić o MD5 i problem kolizji w funkcjach skrótu).

flame

Flame, fot. Peter Blaškovič

Po co podpisywać trojana?

Korzyści z faktu, że malware wygląda jakby stworzył go Microsoft mogą być różne: od oszukania użytkowników (“Ooo, wygląda jak dzieło Microsoft, na pewno mogę zainstalować ten nieznany mi wcześniej program”), poprzez utrudnienie wykrycia przez programy antywirusowe, aż po wizje dystrybucji złośliwego oprogramowania poprzez fałszywe (ale poprawnie podpisywane) aktualizacje via Windows Update.

Reakcja Microsoft

    1) Wydano odpowiedni Advisor (chociaż polecamy także lekturę wpisu z blogu Security Research & Defense)
    2) Wydano poprawkę, dostępną już w Windows Update, która unieważnia trzy certyfikaty wykorzystane w procesie fałszywego podpisu (przenosi je do Untrusted Certificates Store)
    3) Zablokowano możliwość wystawiania certyfikatów w usłudze Terminal Server Licensing Service, które umożliwiają podpisanie kodu.

Należy się cieszyć, że cały ten mechanizm fałszywego podpisu nie został wykorzystany poprzez jakiś masowy malware, skierowany na np. transakcje bankowe. Na wypadek gdyby takowy już działał lub miał zaraz się pojawić (przestępcy lubią sobie odsprzedawać certyfikaty, nie wiadomo co jeszcze zostało nimi podpisane) polecamy zaktualizować Wasze Windowsy.

Przeczytaj także:


28 komentarzy

Dodaj komentarz
  1. “Widnowsy” ? A cóż to za nowy system ?

    • Gdy byłem w podstawówce to się tak mówiło na wersję 3.11 :)

    • Grammar NAZI alive AGAIN…

  2. “Należy się cieszyć, że cały ten mechanizm fałszywego podpisu nie został wykorzystany poprzez jakiś masowy malware, skierowany na np. transakcje bankowe.” – a wiadomo ze nie został? Jedno nie przeczy drugiemu. Sytuacja z Flame udowodniła ze DA SIĘ to zrobić. Wiec równie dobrze ten sam bug może być wykorzystywany gdzie indziej, tylko o tym nie wiemy :)

    • prostsza wizualna werjsa [ wyglad okienek, napisow, czcionki ] jest wykorzytywana od dawna i swietnie sie spisuje, po co sie meczyc

    • Jasne, możliwe, że już od dawna krąży jakiś inny malware wykorzystujący tą “funkcjonalność”. Obstawiam, że podobnie byłby to wyspecjalizowany, wycelowany w kogoś kod, a nie malware masowy. Po prostu malware masowy, buszujący po całym świecie trudniej nie wykryć; pewnie byśmy coś o nim już wiedzieli ;)

  3. Kurcze jeśli pęka PKI to ja już w nic nie wierzę.
    Wszytskie certyfikaty ze słąbym algorytmem (md5, sha1, klucz poniżej 2048) powinny być natychamist anulowane.

    Co jeszcze przed nami?

    • Ależ nie pęka PKI, to tylko błędna implementacja. Microsoft dał ciała, wydając certyfikat umożliwiający nieco więcej, niż planowali. A, ta “stara technologia” z artykułu to X.509.

    • sha1 jest naprawdę słaby? znaczy widziałem jakąś metodę, która redukuje złożoność szukania jakiejkolwiek kolizji z 2^80 na 2^52 czy jakoś tak, ale żeby ktoś faktycznie choć jedna kolizję znalazł, czy zrobił coś poważniejszego, to nie udało mi się informacji znaleźć…

    • Nigdy nie masz pewności, że dana technologia zawsze, w 100% będzie bezpieczna i nikt nie znajdzie w niej jakieś słabości/podatności. PKI nie jest tutaj jakimś wyjątkiem.

    • Możesz rozwinąć myśl o x509? Słaba technologia? Co to znaczy?
      X509 to chyba nic innego jak forma “transportu ” klucza, tudzież pary kluczy.
      ???

    • Jeżeli chodzi o x.509 to polecam lekturę: http://www.ietf.org/rfc/rfc2459.txt

  4. “Advisor” to naprawdę dziwne słowo ;-)

    Przy okazji, czy sprawa włamania do Cloudflare (oraz rzekomego podwędzenia im bazy użytkowników) nie jest warta opisania? To chyba za ich CDNem stoi Niebezpiecznik :-)

  5. Niekoniecznie wizje podpisywania aktualizacji, tylko rzeczywistość. Binarka podpisana fałszywym certyfikatem była przez Flame’a używana w procesie ataku MitM na Windows Update. Polecam http://www.securelist.com/en/blog/208193558/Gadget_in_the_middle_Flame_malware_spreading_vector_identified jako uzupełnienie artykułu.

  6. A moze to twor M$ i teraz probuja zatuszowac sprawe? :D

    • tez bardzo możliwe – tak jak Stuxnet Siemensa… “złap złodzieja za rękę, to powie ze nie jego ręka”

    • tworem nie jest – ale pomysl – zrobione przez USA i Izrael ??? po prostu “poprosili” Microsoft o cos, a ci wymyslili cos co bedzie dzialac a jak sprawa “wyplynie” moge sie latwo wyprzec

    • Też tak uważam, to tak oczywiste że aż się prosi o wykorzystanie. Tak jakbyś kupował sobie czołgi od potencjalnego wroga i szykował się na wojnę z nadzieją, że ten koleś przecież sprzeda ci towar najwyższej jakości i wcale nic tam nie namiesza.
      Naiwne biedne mocarstwa z tajemniczym trojanem nie wiadomo skąd. Na pewno wszyscy uwierzą, że napisał go jakiś spocony tajemniczy hakier wyłącznie w celach rozrywkowych i nie ma to nic wspólnego z wywiadem. A M$ przypadkiem miał taką lukę i wcale o niej nie wiedział, przecież ładnie przeprosił i wypuścił patcha.

  7. No jak dla mnie to dzieło M$, jestem prawie pewien. Z drugiej strony – poraża mnie niefrasobliwość krajów Bliskiego Wschodu, które mają na pieńku z US&A a używają amerykańskiego bądź co bądź Windowsa w swoich rządowych i naukowych placówkach.
    Tu aż się prosi o “interwencję” tego typu, toż to już w tym momencie sam Windows jest koniem trojańskim, godnym zaufania narzędziem tworzonym przez opozycyjny obóz.

    • Brakuje jeszcze wzmianki o kosmitach. Reptilianie czuwają, pamiętaj!

    • @mq – ty chyba gloopi jestes, chlopak ma racje – poszperaj sobie jakiego systemu uzywaja rozne agencje – twoj system jest najslabszy w tym miejscu w ktorym jest najslabsze ogniwo

    • Znowu manifestacja kolorowych od Ubuntu… Certyfikat w tamtym przypadku szło łatwo podpieprzyć, no ale o każde wykorzystanie buga trzeba obwiniać żydów, kontrwywiad i przygotowania do trzeciej wojny światowej. Takie cyrki zdarzają się dość regularnie na KAŻDYM systemie. Softu idealnego nie ma, ostatnio były nawet pogłoski o rzekomym backdoorowaniu uchodzącego za kuloodporne BSD.

    • @mq: tiaa, ja rozumiem że można podrobić certyfikat i napisać gigantycznego trojana który podsłuchuje i zbiera inne informacje wywiadowcze. Tylko powiedz mi łaskawie, po co to komu? Ten soft nie służy kompromitacji jakiejś organizacji czy systemu, ani nawet wykradaniu $, jego celem było jak najdłuższe przebywanie w ukryciu i zbieranie informacji.
      Przeczytaj uważnie listę krajów w obrębie działania tego trojana. I mając tę wiedzę powtórz, że to z całą pewnością tylko hakerski prztyczek w noc a nie zorganizowana akcja wywiadowcza.

    • No i co z tego, że pod Windows pisze się wirusy mające wspierać chociażby zorganizowaną akcję wywiadowczą? Wirus został ujawniony, przeprowadzono badania i wydano stosowne łatki. Gdyby inny system był popularny to sytuacja byłaby IDENTYCZNA. Nikt nie jest idealny, wszędzie zdarzają się mniej i bardziej idiotyczne bugi.

  8. jasne, ACTA tez Reptilianie napisali i próbowali przemycić tylnymi drzwiami… Zamiast bajek o Reptilianach, polecam poczytać materiały historyczne i dokumenty aktualnych spraw. Na początek choćby “IBM i holocaust”, autor Edwin Black – wszystko skrupulatnie udokumentowane. Dowiesz się trochę jak ten świat działa, bo widać ze tkwisz w błogiej nieświadomości.

  9. […] ataku kolizji na funkcje skrótu w realnym świecie prezentuje natomiast Flame, który spoofuje certyfikat Microsoftu mogący podpisywać kod, dzięki czemu jest w stanie podszywać się pod mechanizmy Windows Update. […]

  10. […] GabbaMan, jeden z naszych czytelników, zastanawiał się, czy przypadkiem nie padł ofiarą ostatnio opisywanych przez nas fałszywych aktualizacji systemowych, które wykonuje robak Flame. […]

  11. […] jako “zaufanego” kanału infekcji to nie nowość. Korzystał z tego już sam Flame (fałszywe aktualizacje Windows Update) oraz niemiecki, rządowy trojan FinFisher…i zapewne […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: