Flame-malware vermomt zich als Microsoft-software
Het onlangs ontdekte ‘cyberwapen’ Flame heeft een Microsoft-veiligheidscertificaat misbruikt om ontdekking te voorkomen bij spionage in het Midden-Oosten.
Microsoft bracht zondag een noodbulletin uit, waarin het aangeeft dat de inmiddels beruchte Flame-malware een van zijn eigen veiligheidscerticaten had vervalst. “We hebben na analyse ontdekt dat sommige componenten van de malware zijn getekend met certificaten die het doen lijken alsof de software is geproduceerd door Microsoft”, zei het bedrijf in een verklarende blogpost.
Noodsituatie
Het softwarebedrijf nam verschillende stappen om meer schade te voorkomen. Het bracht een update uit die de valse certificaten automatisch weigert, legt uit hoe software kan worden geblokkeerd die de vervalsingen gebruiken en legt de dienst aan de ketting die de makers van Flame misbruikten om zich als Microsoft te kunnen voordoen.
[related_article id=”161452″]
Flame wist de certificaten te vervalsen door een gat in een oud encryptie-algoritme te misbruiken, waarna diens makers hun geschreven code digitaal konden ondertekenen met een Microsoft-stempel. Het gat zat in de Terminal Server Licensing Service, een ondertekeningsprogramma dat Microsoft aan zakelijke klanten aanbiedt om Remote Desktop-diensten te kunnen signeren. Redmond heeft dit vermogen nu uitgeschakeld en dringt erop aan dat iedereen zo snel mogelijk zijn veiligheidspatch installeert.
Is de geest is uit de fles?
Het gevaar van Flame, dat vorige week werd ontdekt door de Russische beveiliger Kaspersky Labs, is inmiddels geweken. De meeste antivirusbedrijven detecteren het slinkse programma nu en kunnen het blokkeren en Kaspersky meldde vanmiddag dat alle controleservers van de malware kort na ontdekking op zwart zijn gegaan.
Maar de methode die de auteurs hebben gebruikt om jarenlang ontdekking te voorkomen, ofwel het misbruiken van Microsofts eigen veiligheidscertificaten, kan verstrekkende gevolgen hebben voor de manier waarop software wordt beveiligd.
Hoewel Microsoft de zaak probeert te sussen met de uitspraak dat “het overgrote deel van de consumenten geen gevaar loopt” voor Flame, is er veel onduidelijkheid over in welke mate de certificaatstructuur is ondermijnd.
Inmiddels is gebleken dat Flame machines zelfs heeft besmet via de Windows Update-functie en Microsoft geeft zelf toe dat de tactiek “door minder verfijnde aanvallers kan worden ingezet om wijdverspreide aanvallen te lanceren.”