Cyberwaffe Flame mit gefälschten Microsoft-Zertifikaten signiert
Die in der vergangenen Woche bekanntgewordene Malware Flame wurde zum Teil mit gefälschten Microsoft-Zertifikaten signiert, so dass die Software wirkte, als käme sie von Microsoft.
Microsoft hat die von Kaspersky entdeckte, besonders komplexe Malware Flame untersucht und dabei festgestellt, dass Teile des Codes mit Zertifikaten unterschrieben wurden, die auf Microsofts Root Authority zurückgehen. Die Angreifer konnten so dafür sorgen, dass die Software für die angegriffenen Systeme wirkte, als käme sie offiziell von Microsoft.
Ermöglicht hat dies ein Fehler in Microsofts Terminal Services: Der hier integrierte Lizenzdienst, der eigentlich nur dafür gedacht ist, Zertifikate für Remote-Desktop-Dienste auszustellen, lässt sich missbrauchen, um auch Code zu signieren. Die Flame-Autoren nutzten dies, um ihren Code zu unterschreiben.
Microsoft hat umgehend auf die Entdeckung reagiert und ein Security Advisory veröffentlicht, das erläutert, wie Kunden mit diesen Zertifikaten unterschriebene Software blockieren können. Zudem verteilt Microsoft ab sofort Updates, die dies automatisieren. Der Terminal Server Licensing Service wurde darüber hinaus so verändert, dass er nicht länger missbraucht werden kann, um Code zu signieren.
Microsoft rät dringend zum Einspielen der Updates, denn auch wenn Flame nur sehr zielgerichtet eingesetzt wird und dadurch keine hohe Verbreitung hat, so könnten die Sicherheitslücken schon sehr bald auch von anderen Malware-Autoren genutzt werden, die auf eine massenhafte Verbreitung setzen.
In einem Blogeintrag hat Microsoft die Abdrücke der betroffenen Zertifikate veröffentlicht.
.jpg)
Kamen diese meldungen mit den gefälschten Zertifikaten nicht ursprünglichst aus dem Iran...
wird somit zum zahnlosen Tiger...
Wie ironisch. Microsoft verteilt Microsoft-zertifizierte Software, die verhindert, dass...
Da hat ein Wort gefehlt ohne den mein Beitrag keinen Sinn macht :x
Kommentieren