微软撤销被Flame恶意软件工具包的作者所利用的欺诈证书,这些证书被用于欺骗受害者相信软件来源于该软件巨人。微软发布的补丁涉及所有版本的Windows系统。
人们认为,Flame恶意软件工具包幕后的攻击者牵涉到由某个国家级别资助的电子间谍活动。该恶意软件通过使用由微软发布的欺诈证书,能够伪造内容、进行钓鱼攻击和中间人攻击。
微软安全响应中心的高级主任Mike Reavey表示,这些欺诈证书是在调查能让Flame恶意软件传播所利用的漏洞时发现的。Flame恶意软件感染了伊朗境内200台以内的Windows系统,以及其它中东和北非国家更少的一些机器。
“我们的调查已经发现该恶意软件利用的一些技术也可能被不太老练的攻击者用来启动更为广泛的攻击,”Reavey在一篇关于微软的Flame恶意软件公告的博客中写到。“通过分析我们发现,该恶意软件的一些组件已经被证书签名,让该软件看起来似乎是由微软开发的。”
微软:某个第三方CA发布带有弱密码的证书
通过周日发布的CA公告,微软解决了这些欺诈数字证书的问题。根据该公告内容,这些欺诈证书被用于主动式的攻击中。微软的工程师也判定“某个第三方CA肯定发布了带有弱密码的证书”,微软在它的公告中表示。
微软更新所有受到影响支持版本的Windows产品。它撤销了下述证书:两个Microsoft Enforced Licensing Intermediate PCA 证书以及一个Microsoft Enforced Licensing Registration Authority。这些欺诈证书也让Windows移动设备的用户处于风险中,但是周日发布的补丁没有对智能手机的更新文件。
该问题来源于微软的终端服务器授权服务,它允许顾客们在企业中授权远程桌面服务。Reavey表示该服务使用了一种较为古老的加密算法,提供的证书能对代码进行签名。
对于周一发布的更新补丁,Reavis表示攻击者似乎使用了密码学中的碰撞攻击(collision attack)来攻击该微弱的加密算法。加密碰撞理论由研究人员在2005年针对MD5算法提出。SHA-1和MD5算法被认为容易遭到该技术攻击。在大多数的应用中它们被SHA-2哈希算法所替换。
一旦应用这些补丁文件后,它们会阻止被非授权证书签名的软件。此外,Reavey表示微软不会再发布允许代码签名的证书,来作为终端服务器授权服务的一部分。
上个月Flame恶意软件工具包浮出水面,当时卡巴斯基实验室向公众公布对该威胁的分析。这家位于俄罗斯的防病毒厂商表示Flame“可能是被发布的最为尖端的电子武器”。其它安全专家不同意该说法,表示这个有20M大小的恶意软件,只不过是其它木马软件通常使用的一些攻击工具的集合。