Microsoft brengt tweede noodpatch uit tegen Flame
Microsoft heeft vlak vóór Patch Tuesday een spoedpatch uitgebracht om Windows Server Update Services te beschermen tegen Flame. Daarvoor is nu een nieuwe, aparte certificaatautoriteit gecreëerd.
Microsoft draait overuren om de kwetsbaarheden te patchen die zijn misbruikt door superspyware Flame. Nadat de Windows-maker begin vorige week drie gecompromitteerde beveiligingscertificaten introk, heeft het vrijdagavond een tweede spoedpatch uitgebracht. De situatie is dermate kritiek dat deze update blijkbaar niet kon wachten tot de reguliere updateronde, Patch Tuesday, die morgen al is.
Geheel verse certificaatketen
De noodpatch is een update voor Windows Server Update Services (WSUS), het systeem voor beheerders om in een netwerk Windows-updates te verspreiden naar hun pc's. Flame misbruikte dit mechanisme namelijk door zich met een vervalst certificaat dat ondertekend was door Microsoft voor te doen als legitieme Windows Update. Zo kon de malware meer pc's in het netwerk infecteren of van nieuwe spionagemodules voorzien.
De nieuwste patch van Microsoft moet de 'communicatiekanalen' van WSUS beter beveiligen. Er worden na de patch alleen nog maar bestanden vertrouwd die zijn getekend met de 'Microsoft Update certification authority', meldt het concern. Dit is een geheel nieuwe certificaatautoriteit (CA), zodat Microsoft met een relatief schone lei weer kan beginnen om de 'vertrouwensketen' te herstellen.
Microsoft heeft ook SHA-1 en SHA-2 hash fingerprints gemaakt van de vrijdagavond uitgebrachte patchbestanden. Beheerders kunnen daarmee controleren of het bestand dat ze binnenhalen ook echt van Microsoft afkomstig is.
State-of-the-art cryptoaanval
Vorige week werd duidelijk dat Flame veel geavanceerder is dan bijvoorbeeld Stuxnet. Niet alleen bestaat het uit talloze geniepige spionagemodules, maar het kan zich dus voordoen als Microsoft Update. Die 'heilige graal' voor malwaremakers is bereikt doordat Flame is ondertekend met echte, maar valselijk verkregen, beveilingscertificaten van de Windows-maker zelf.
Later in de week bleek dat de makers van Flame daartoe een ongekend geavanceerde crypto-aanval hadden uitgevoerd, die tot nog toe alleen in het lab was gelukt. Met deze zogenaamde hash collision-aanval op het md5-algoritme wordt een identieke hash gecreëerd uit twee verschillende bronnen.
Wanneer voor Windows Update?
Flame, vermoedelijk gemaakt door tophackers en cryptografen in overheidsdienst, ondermijnt dus op verschillende manieren het vertrouwen in de beveiligingscertificaten én updatemechanismen van Microsoft.
Het bedrijf beloofde dijkversterking van WSUS én Windows Update. Met de nieuwste patch voor WSUS is daarvan het eerste gedeelte van de belofte ingelost. Maar het is nog niet duidelijk wanneer het Update-systeem van 'losse' Windows pc's (waarvan de updates dus niet beheerd worden in een bedijfsnetwerk) wordt versterkt. Logischerwijs zou dat meteen morgen op Patch Tuesday kunnen, maar er staat geen informatie over een dergelijke patch in de vooraankondiging van de morgen uitkomende patches.
Bron: Webwereld.nl