Original-URL des Artikels: https://www.golem.de/news/cyberwaffe-flame-mit-gefaelschten-microsoft-zertifikaten-signiert-1206-92251.html    Veröffentlicht: 04.06.2012 08:46    Kurz-URL: https://glm.io/92251

Cyberwaffe

Flame mit gefälschten Microsoft-Zertifikaten signiert

Die in der vergangenen Woche bekanntgewordene Malware Flame wurde zum Teil mit gefälschten Microsoft-Zertifikaten signiert, so dass die Software wirkte, als käme sie von Microsoft.

Microsoft hat die von Kaspersky entdeckte, besonders komplexe Malware Flame untersucht und dabei festgestellt, dass Teile des Codes mit Zertifikaten unterschrieben wurden, die auf Microsofts Root Authority zurückgehen. Die Angreifer konnten so dafür sorgen, dass die Software für die angegriffenen Systeme wirkte, als käme sie offiziell von Microsoft.

Ermöglicht hat dies ein Fehler in Microsofts Terminal Services: Der hier integrierte Lizenzdienst, der eigentlich nur dafür gedacht ist, Zertifikate für Remote-Desktop-Dienste auszustellen, lässt sich missbrauchen, um auch Code zu signieren. Die Flame-Autoren nutzten dies, um ihren Code zu unterschreiben.

Microsoft hat umgehend auf die Entdeckung reagiert und ein Security Advisory veröffentlicht, das erläutert, wie Kunden mit diesen Zertifikaten unterschriebene Software blockieren können. Zudem verteilt Microsoft ab sofort Updates, die dies automatisieren. Der Terminal Server Licensing Service wurde darüber hinaus so verändert, dass er nicht länger missbraucht werden kann, um Code zu signieren.

Microsoft rät dringend zum Einspielen der Updates, denn auch wenn Flame nur sehr zielgerichtet eingesetzt wird und dadurch keine hohe Verbreitung hat, so könnten die Sicherheitslücken schon sehr bald auch von anderen Malware-Autoren genutzt werden, die auf eine massenhafte Verbreitung setzen.

In einem Blogeintrag hat Microsoft die Abdrücke der betroffenen Zertifikate veröffentlicht.  (ji)


Verwandte Artikel:
Malware: UN will vor Cyberwaffe Flame warnen, Sophos wiegelt ab   
(30.05.2012, https://glm.io/92150 )
BSI: Ist Cyberwaffe Flame eine Bedrohung für private Anwender?   
(29.05.2012, https://glm.io/92131 )
Nach Stuxnet und Duqu: Cyberwaffe Flame ist per Lua scriptbar und enthält SQLite   
(29.05.2012, https://glm.io/92108 )

© 1997–2019 Golem.de, https://www.golem.de/