Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 6/6/2012
En fejl hos Microsoft gjorde det muligt for bagmændene bag Flame at få det til at se ud, som om det skadelige program var skrevet af Microsoft. Hullet er nu lukket.Sårbarheden ligger i en funktion, der udsteder servercertifikater til brugere af Remote Desktop. Disse certifikater burde kun kunne anvendes til at identificere en server med. Men på grund af fejlen var det muligt at bruge certifikatet til at signere programkode med, så den ser ud til at være produceret af Microsoft.
Microsoft har nu ændret proceduren, så fejlen ikke kan gentages.
Samtidig er de certifikater, der blev brugt, erklæret ugyldige i Windows. Det sker via en automatisk opdatering.
Ifølge sikkerhedsfirmaet Symantec udnyttede det skadelige program Flame sårbarheden. Først blev programfilen signeret med det misbrugte certifikat. Herefter omdirigerede Flame henvendelser til Windows Update. På den måde blev Flame installeret via Automatiske opdateringer i Windows.
Flame har kun været anvendt i målrettede angreb mod få, udvalgte ofre. Men Microsoft gør opmærksom på, at dens metoder vil kunne bruges af nye trusler, der sigter bredere.
Anbefaling
Installer opdateringen fra Microsoft.
Links
- Microsoft certification authority signing certificates added to the Untrusted Certificate Store, blogindlæg fra Microsoft Security Research & Defense
- Microsoft Security Advisory (2718704): Unauthorized Digital Certificates Could Allow Spoofing
- W32.Flamer: Microsoft Windows Update Man-in-the-Middle
- Avanceret malware rammer Iran, DK-CERT 30-05-2012