Cyberwaffe: Flame mit gefälschten Microsoft-Zertifikaten signiert

Die in der vergangenen Woche bekanntgewordene Malware Flame wurde zum Teil mit gefälschten Microsoft-Zertifikaten signiert, so dass die Software wirkte, als käme sie von Microsoft.

4. Juni 2012 um 08:46 Uhr / Jens Ihlenfeld

9 Kommentare News folgen (öffnet im neuen Fenster)

Microsoft veröffentlicht Update außer der Reihe. (Bild: iStock Photo) — Microsoft veröffentlicht Update außer der Reihe. Bild: iStock Photo

Microsoft hat die von Kaspersky entdeckte, besonders komplexe Malware Flame untersucht und dabei festgestellt(öffnet im neuen Fenster) , dass Teile des Codes mit Zertifikaten unterschrieben wurden, die auf Microsofts Root Authority zurückgehen. Die Angreifer konnten so dafür sorgen, dass die Software für die angegriffenen Systeme wirkte, als käme sie offiziell von Microsoft.

Ermöglicht hat dies ein Fehler in Microsofts Terminal Services: Der hier integrierte Lizenzdienst, der eigentlich nur dafür gedacht ist, Zertifikate für Remote-Desktop-Dienste auszustellen, lässt sich missbrauchen, um auch Code zu signieren. Die Flame-Autoren nutzten dies, um ihren Code zu unterschreiben.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Professur für Hard- und Software Digitaler Systeme Hochschule Osnabrück, Osnabrück (öffnet im neuen Fenster)

Senior Consultant (m/w/d) - Supply Chain & Einkauf valantic Supply Chain & Procurement Consulting GmbH, Düsseldorf (öffnet im neuen Fenster)

Bis zu sechs Bearbeiter/innen (m/w/d), Abteilung Mitglieder und Beitrag, Köln - BG ETEM - Berufsgenossenschaft Energie Textil Elektro Medienerzeugnisse, Köln (öffnet im neuen Fenster)

Cyber Security Engineer (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)

IT-Anwendungsmanager (m/w/d) Vollmachtensysteme ivv GmbH, Hannover (öffnet im neuen Fenster)

Ausbildung zur/zum Kauffrau / Kaufmann für Digitalisierungsmanagement 2026 (m/w/d) NordCap GmbH & Co. KG, Bremen (öffnet im neuen Fenster)

PhD Student/Machine Learning Specialist (gn) Universitätsklinikum Münster, Münster (öffnet im neuen Fenster)

(Senior) Speech Developer Spanish (m/f/x)* Solventum Germany GmbH, München (öffnet im neuen Fenster)

Microsoft hat umgehend auf die Entdeckung reagiert und ein Security Advisory(öffnet im neuen Fenster) veröffentlicht, das erläutert, wie Kunden mit diesen Zertifikaten unterschriebene Software blockieren können. Zudem verteilt Microsoft ab sofort Updates, die dies automatisieren. Der Terminal Server Licensing Service wurde darüber hinaus so verändert, dass er nicht länger missbraucht werden kann, um Code zu signieren.

Microsoft rät dringend zum Einspielen der Updates, denn auch wenn Flame nur sehr zielgerichtet eingesetzt wird und dadurch keine hohe Verbreitung hat, so könnten die Sicherheitslücken schon sehr bald auch von anderen Malware-Autoren genutzt werden, die auf eine massenhafte Verbreitung setzen.

In einem Blogeintrag(öffnet im neuen Fenster) hat Microsoft die Abdrücke der betroffenen Zertifikate veröffentlicht.

Zur Startseite 9 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Nach Stuxnet und Duqu: Cyberwaffe Flame ist per Lua scriptbar und enthält SQLite

Kaspersky Lab hat zusammen mit der ITU nach Stuxnet ein weiteres Schadprogramm entdeckt, das als Cyberwaffe gegen Ziele in mehreren Ländern eingesetzt wird. Die "Flame" genannte Software soll besonders flexibel sein und Angreifern dadurch mehr Möglichkeiten bieten als jede bisher bekannte Schadsoftware.

Relevante Themen