Flame: Microsoft varuje uživatele, odvolal zneužité certifikáty

Microsoft odvolal několik vlastních digitálních certifikátů poté, co zjistil, že tvůrci viru Flame přišli na způsob, jak škodlivému kódu opatřit oficiální digitální podpis.

Flame: Microsoft varuje uživatele, odvolal zneužité certifikáty


Jde o velký problém, protože licenční server terminálové služby, přes který firmy běžně provádějí autorizaci vzdálených desktopových služeb a relací, dovolil útočníkům vygenerovat digitální certifikáty, které následně použili k podpisu zdrojového kódu viru Flame.

O kybernetické hrozbě Flame jsme vás informovali nedávno v samostatném článku. Jde o špionážní nástroj, který svou sílou dokonce mnohonásobně převyšuje legendární Stuxnet. Stejně jako on zasáhl především íránská jaderná zařízení na obohacování uranu a má se proto za to, že za virem opět stojí vysoce organizovaná skupina. Podle názoru deníku New York Times se dokonce jedná o jeho přímého následníka.

„Flame používá platné, avšak falešné certifikáty Microsoftu, kterými přes terminálovou služby podepisuje svůj kód. Využívá přitom chyby v systému certifikační autority,“ řekl Andrew Storms, ředitel bezpečnostních operací v nCircle Security. Ve výsledku se tak Flame tváří jako zcela neškodný program, který má svou bezúhonnost potvrzenou přímo od Microsoftu.

Microsoft se celý problém rozhodl vyřešit tím, že trojici zneužitých certifikátů odvolal a vydal aktualizaci pro všechny verze operačního systému Windows, která tyto certifikáty přidává na revokační seznam. Opravná aktualizace je dostupná také pro obě dosud vydané verze Windows 8 – Consumer Preview a Release Preview. Microsoft pro jistotu provedl určité změny také přímo v licenčním serveru terminálové služby.

Společnost odmítla specifikovat, které části viru Flame byly opatřené digitálním podpisem. Na jednu z nich prý ale přišla finská F-Secure. „Jeden z modulů Flamu se snaží o provedení zprostředkovaného útoku na aktualizační systém Microsoftu. Když se mu to povede, dostane se do napadeného počítače soubor WUSETUPV.EXE, který je ověřen falešným digitálním podpisem,” řekl Mikko Hypponen z F-Secure.

Úvodní foto: © maxkabakov - Fotolia.com










Komentáře