Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Flame komt binnen via Windows Update

Door: Jasper Bakker | 04 juni 2012 15:35

Apps & Software

De superspyware Flame probeert binnen te komen op pc's van slachtoffers via een man-in-the-middle aanval. Daarbij pretendeert de malware een update van Microsoft te zijn.

Flame kan zich voordoen als valide programma via Windows Update, ontdekt Kaspersky Lab. Het misbruikt hiervoor eigen certificaten van Microsoft. Deze verstrekkende feature van Flame is ontdekt en bevestigd door onderzoeker Costin Raiu van de Russische securityleverancier Kaspersky Lab.

Microsoft: update

Webwereld heeft vragen uitgezet bij zowel Kaspersky als Microsoft. Laatstgenoemde geeft in een eerste reactie aan dat Flame is geanalyseerd en dat Microsoft vanmorgen een update heeft uitgebracht die de ongeautoriseerde certificaten van Flame in de ban doet. Daarmee is het gevaar van misbruik via Windows Update niet opgeheven: certificaatmisbruikers kunnen de update zelf namelijk ook vervalsen. Webwereld heeft aanvullende vragen uitgezet bij Microsoft.

Ondertussen ontleden diverse security-experts, onder meer van Kaspersky, deze nieuwste vondst in het rijke, variabele arsenaal van Flame. Het certificaat waarmee de spyware zich aanbiedt via Windows Update is volgens hoofdonderzoeker Mikko Hypponen van F-Secure wel degelijk afkomstig van één van de drie misbruikte Microsoft-eigen CA's (Certificate Authority's). Het is de Microsoft Enforced Licensing Intermediate PCA (Primary CA).

Het certificeringspad van het 'Windows Update'-certificaat dat Flame gebruikt om zich als legitieme Microsoft-update aan te bieden:

Klik voor groot

Via Mikko Hypponen.

Certificaat om meer aan te maken

Het zogenaamde 'Windows Update'-certificaat is volgens de daarin vervatte informatie mede-ondertekend door VeriSign. Microsoft en/of certificaatverstrekker VeriSign zouden dus de identiteit kunnen kennen van degene die in eerste instantie een valide Microsoft-certificaat heeft verkregen. De oorsprong van de malafide certificaten ligt namelijk in een certificaat dat een Terminal Services-server gebruikt voor clientlicenties.

Daarmee zijn echter weer eigen certificaten aan te maken. Dat is door een nog onbekende partij gedaan om geldige, maar dus ongeautoriseerde certificaten aan te maken om Flame-componenten te voorzien van een digitale handtekening. Die malware lijkt daardoor officieel afkomstig te zijn van de Windows-producent zelf.

Uit 2010 al

De nieuwste ontdekking van Kaspersky maakt het gevaar van Flame veel groter. Het certificaat waarmee Flame zich aanbiedt als update zogenaamd via Windows Update is in februari 2010 al aangemaakt. Daarmee is op 28 december dat jaar de code ondertekend van de kwaadaardige update-module (codenaam Gadget) van Flame. Het zo aangeboden bestand is WuSetupV.exe.

De man-in-the-middle aanval waarmee Flame het verkeer van en naar Microsofts Windows Update kan infiltreren, is op een opvallende manier gericht. Kaspersky-onderzoeker Raiu tweet dat de aanval op de tijdszone let: +2 uur ten opzichte van Greenwich Mean Time. Flame-infecties zijn al vooral in het Midden-Oosten waargenomen.

Bron: Webwereld.nl

0 Reacties op: Flame komt binnen via Windows Update

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.