Flame komt binnen via Windows Update
De superspyware Flame probeert binnen te komen op pc's van slachtoffers via een man-in-the-middle aanval. Daarbij pretendeert de malware een update van Microsoft te zijn.
Microsoft: update
Webwereld heeft vragen uitgezet bij zowel Kaspersky als Microsoft. Laatstgenoemde geeft in een eerste reactie aan dat Flame is geanalyseerd en dat Microsoft vanmorgen een update heeft uitgebracht die de ongeautoriseerde certificaten van Flame in de ban doet. Daarmee is het gevaar van misbruik via Windows Update niet opgeheven: certificaatmisbruikers kunnen de update zelf namelijk ook vervalsen. Webwereld heeft aanvullende vragen uitgezet bij Microsoft.
Ondertussen ontleden diverse security-experts, onder meer van Kaspersky, deze nieuwste vondst in het rijke, variabele arsenaal van Flame. Het certificaat waarmee de spyware zich aanbiedt via Windows Update is volgens hoofdonderzoeker Mikko Hypponen van F-Secure wel degelijk afkomstig van één van de drie misbruikte Microsoft-eigen CA's (Certificate Authority's). Het is de Microsoft Enforced Licensing Intermediate PCA (Primary CA).
Het certificeringspad van het 'Windows Update'-certificaat dat Flame gebruikt om zich als legitieme Microsoft-update aan te bieden:
Via Mikko Hypponen.
Certificaat om meer aan te maken
Het zogenaamde 'Windows Update'-certificaat is volgens de daarin vervatte informatie mede-ondertekend door VeriSign. Microsoft en/of certificaatverstrekker VeriSign zouden dus de identiteit kunnen kennen van degene die in eerste instantie een valide Microsoft-certificaat heeft verkregen. De oorsprong van de malafide certificaten ligt namelijk in een certificaat dat een Terminal Services-server gebruikt voor clientlicenties.
Daarmee zijn echter weer eigen certificaten aan te maken. Dat is door een nog onbekende partij gedaan om geldige, maar dus ongeautoriseerde certificaten aan te maken om Flame-componenten te voorzien van een digitale handtekening. Die malware lijkt daardoor officieel afkomstig te zijn van de Windows-producent zelf.
Uit 2010 al
De nieuwste ontdekking van Kaspersky maakt het gevaar van Flame veel groter. Het certificaat waarmee Flame zich aanbiedt als update zogenaamd via Windows Update is in februari 2010 al aangemaakt. Daarmee is op 28 december dat jaar de code ondertekend van de kwaadaardige update-module (codenaam Gadget) van Flame. Het zo aangeboden bestand is WuSetupV.exe.
De man-in-the-middle aanval waarmee Flame het verkeer van en naar Microsofts Windows Update kan infiltreren, is op een opvallende manier gericht. Kaspersky-onderzoeker Raiu tweet dat de aanval op de tijdszone let: +2 uur ten opzichte van Greenwich Mean Time. Flame-infecties zijn al vooral in het Midden-Oosten waargenomen.
Bron: Webwereld.nl