Konkret handelt es sich laut Microsoft um gefälschte Sicherheitszertifikate für Microsofts Terminal Server, um die Updatefunktion von Windows zu täuschen. Als Folge könnte ein Windows-PC ein Update erhalten, das angeblich von Microsoft stammt, in Wirklichkeit aber ein Teil von Flame ist.
Windows Update zu täuschen ist Symantec zufolge keine leichte Aufgabe. Alle Updates müssten von Microsoft signiert sein. Flame verwende ein mit Microsofts Root Authority verbundenes Zertifikat, um diese Einschränkung zu umgehen, schreibt das Unternehmen in einem Blogeintrag.
Insgesamt seien drei Anwendungen an der Infizierung eines PCs beteiligt: Snack, Munch und Gadget. Snack überwache NetBIOS-Anfragen im lokalen Netzwerk und leite sie an das Modul Munch weiter. Munch wiederum agiere als Webserver und Gadget liefere mithilfe von Munch eine Binärdatei, die mit einem angeblich von Microsoft stammenden Zertifikat signiert sei. Sie werde als legitimes Windows-Update auf einen Rechner geladen und ausgeführt. Allerdings handele es sich dabei nicht um den Virus selbst, sondern um ein Programm, das Flame herunterlade und installiere.
Microsoft hat das Risiko für Windows Update bestätigt. Die Anfälligkeit könne missbraucht werden, um Kunden anzugreifen, die bisher nicht das Ziel von Flame seien.
“In allen Fällen kann Windows Update nur mit einem nicht autorisierten Zertifikat in Kombination mit einem Man-in-the-Middle-Angriff getäuscht werden”, erklärte Microsoft. Flame selbst nutze einen Man-in-the-Middle-Angriff, um Daten zu stehlen, Audiokonversationen abzuhören und Bildschirmfotos anzufertigen.
Anfang der Woche hatte Microsoft eine Sicherheitswarnung herausgegeben und darüber informiert, wie Software blockiert werden kann, die mit gefälschten Zertifikaten signiert wurde. Zudem steht ein Update zur Verfügung, das die gefährlichen Zertifikate sperrt. Außerdem lassen sich mit Terminal Server keine Zertifikate mehr ausstellen, die eine Codesignierung ermöglichen.
Um darüber hinaus seine Kunden besser zu schützen, will Microsoft auch die Windows-Updatefunktion verbessern. Das dafür benötigte Update werde man erst herausgeben, wenn der Patch KB2718704 auf den meisten Rechnern installiert sei, um die Verteilung dieses Updates nicht zu stören.
[mit Material von Lance Whitney, News.com]
Hinweis: Lesen Sie Artikel von silicon.de ab sofort auch in Google Currents. Jetzt abonnieren.
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…
Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.
Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.