Flame использует сертификаты Microsoft для подписи своих модулей

Flame использует сертификаты Microsoft для подписи своих модулей

Корпорация Microsoft опубликовала уведомление безопасности, в котором отозвала сертификаты, используемые авторами Flame для обхода систем обнаружения вирусов.

Компания Microsoft опубликовала бюллетень безопасности, в котором сообщила, что шпионская программа Flame, поразившая большое количество компьютеров на Ближнем Востоке, использует компоненты, получившие сертификацию софтверного гиганта. Старший сотрудник Microsoft Trustworthy Computing Майк Рейви (Mike Reavey) заявил, что вредоносная программа использует подписи центров сертификации Microsoft для эффективного обхода обнаружения антивирусными продуктами.

«Анализ позволил нам определить, что некоторые компоненты вируса были подписаны сертификатами, которые позволяют программе выдавать себя за продукт Microsoft. Мы узнали о возможности использования старого криптографического алгоритма для подписи кода таким образом, как будто он исходит от Microsoft. Речь идет конкретно о службе Terminal Server Licensing Service, которая позволяла клиентам подписывать в своей корпоративной среде службы Remote Desktop, использовала старый алгоритм и предоставляла возможность подписки кода, что позволяло представлять его как продукт Microsoft», - пояснил Рейви.

Также, по данным корпорации, самоподписанные сертификаты можно использовать для осуществления спуфинг атак, атак «человек посередине» и фишинга.

Корпорация Microsoft рекомендует пользователям в кратчайшие сроки установить обновление безопасности, в котором отзываются 2 сертификата Microsoft Enforced Licensing Intermediate PCA, а также сертификаты Microsoft Enforced Licensing Registration Authority, с помощью службы Windows Update. Производитель отмечает, что обновление распространяется только на программные продукты для настольных платформ, не затрагивая мобильные платформы Windows Mobile и Windows Phone.

Напомним, что Flame был обнаружен в ходе проведения расследования «Лаборатории Касперского» по запросу Международного союза электросвязи (МСЭ). МСЭ обратился за помощью в обнаружении неизвестного вируса, удаляющего важную информацию с компьютеров различных предприятий в странах Ближнего Востока. К МСЭ, в свою очередь, обратились власти Ирана, сообщив о том, что в конце прошлого месяца с базы данных нефтяной компании исчезла важная информация.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь