Microsoft schrapt eigen certificaten vanwege Flame

door

contract

door

Nieuws - Superspyware Flame heeft valide Microsoft-certificaten gebruikt waarmee weer andere certificaten zijn aan te maken. Dit dwingt de Windows-maker tot het uitschakelen van eigen certificaatverstrekkers.

Twee certificaten van de nu uitgeschakelde Microsoft-CA's (Certificate Authority's) zijn gebruikt door de complexe spyware Flame. Componenten van die net ontdekte malware lijken daardoor valide software die is uitgegeven door Microsoft. Deze ongeautoriseerde certificaten lopen via tussen-CA's die Microsoft beheert helemaal tot aan de Root Authority van de Windows-producent.

Daardoor wordt de digitaal ondertekende code automatisch vertrouwd door beveiligingssystemen en beheerders. Flame is echter ontwikkeld door een nog onbekende partij, wat volgens security-experts waaronder F-Secure waarschijnlijk een Westerse overheid is.

Ongeautoriseerd en te kraken

De twee ongeautoriseerde certificaten zijn afkomstig van de Microsoft Enforced Licensing Intermediate PCA. Het derde intermediate-certificaat dat de Windows-producent nu uitschakelt komt van de Microsoft Enforced Licensing Registration Authority CA. Die laatste blijkt certificaten met zwakke beveiliging te hebben uitgevaardigd.

Daardoor zijn beveiligingscertificaten van die verstrekker te kraken en vervolgens te vervalsen. Dat is eerder al gedaan door cybercriminelen voor een Trojan die bedrijfsspionage pleegt. In het geval van de twee door Flame misbruikte certificaten is er geen sprake van kraken en vervalsen. Het is nog onbekend hoe de makers van deze supermalware dan aan de Microsoft-certificaten zijn gekomen.

Cyberspion

Flame is ingezet voor spionage in het Midden-Oosten, waarbij de pc's van specifieke individuen zijn geïnfiltreerd en geplunderd voor data. De malware is zeker al sinds begin 2010 actief en recent nog aangepast. Componenten van Flame zijn echter al in 2007 waargenomen, wat doet vermoeden dat deze cyberwar-tool ouder is dan het beruchte Stuxnet en het verwante Duqu.

Microsoft brengt zijn vergaande anti-Flame maatregelen nu onder de aandacht met een Security Advisory. Daarbij geeft het stappen die klanten kunnen nemen om de malware te blokkeren, brengt het een software-update uit die de ongeautoriseerde certificaten blokkeert, en meldt het dat zijn Terminal Server Licensing Service niet langer certificaten verstrekt waarmee code digitaal valt te ondertekenen.

Bewust misbruik of DigiNotar 2?

De softwareproducent sust nog dat het overgrote merendeel van klanten geen gevaar loopt door Flame. De onderliggende certificaatfraude vormt echter wel een flink gevaar. Het Internet Storm Center waarschuwt dat onbekend is wie er toegang had tot deze intermediate-certificaten waarmee weer meer certificaten zijn aan te maken.

Was het misbruik door een geautoriseerde certificaatgebruiker, of is die partij - à la het gehackte DigiNotar - gekraakt en misbruikt door een ongeautoriseerde gebruiker? Microsoft maakt dat niet duidelijk in zijn Security Bulletin, klaagt het onafhankelijke internetbeveiligingsorgaan.

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

promotionele afbeeldingen promotionele afbeeldingen

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.