Falsches Zertifikat

Flame missbraucht Windows Update

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Der kürzlich entdeckte Flame-Virus geht wirklich ausgesprochen trickreich zu Werke.
Microsoft hat die Windows-Schwachstelle inzwischen mit dem Patch KB2718704 behoben.
Microsoft hat die Windows-Schwachstelle inzwischen mit dem Patch KB2718704 behoben.

Experten hatten so etwas schon länger kommen sehen: Ein Man-in-the-middle-Angriff, bei dem sich jemand als Windows / Microsoft Update ausgibt, um als legalen Microsoft-Code getarnte Malware an nichtsahnende Nutzer auszuliefern.

Und genau das tut eine Komponente des modular aufgebauten Flame-Virus, der bisher vor allem im Nahen Osten PCs ausspioniert hat und so komplex programmiert ist, dass ein oder mehrere Staaten als Urheber vermutet werden. Die nach Forensik des Kasperky-Experten Alexander Gostev am 27. Dezember 2010 kompilierte Flame-Komponente "Gadget" auf einem infizierten Rechner fängt die Update-Anforderungen noch nicht befallener PCs im gleichen Netz ab und liefert im Gegenzug eine bösartige Software zurück, die mit einem gefälschten, technisch aber gültigen Microsoft-Zertifikat signiert ist.

"Wir haben bei unserer Analyse festgestellt, dass einige Komponenten der Malware mit Zertifikaten signiert sind, die sie als von Microsoft produziert erscheinen lassen", gestand Mike Reavey, Senior Director von Microsofts Security Response Center (MSRC) in einem Blogpost am Sonntag. Microsoft veröffentlichte auch umgehend das diesbezügliche Security Advisory 2718704 und einen entsprechenden Out-of-band-Patch (via Windows Update); überdies stellt der für Unternehmenskunden gedachte und remote nutzbare Terminal Server Licensing Service nun keine Zertifikate mehr aus, mit denen sich Code signieren ließe. Im Blog "Security Research & Defense" erläutert Microsoft diese Gegenmaßnahmen noch ausführlicher.

"Das hier ein Bug entdeckt wurde, mit dem Microsofts Zertifikat-Hierarchie für sicheren Code umgangen wurde, ist ein enormer Vertrauensbruch und von großer Bedeutung für jeden Microsoft-Anwender", erklärte Andrew Storm, Director of Security Operations bei nCircle, gegenüber unseren US-Kollegen von "PC World". "Es unterstreicht gleichzeitig die delikate und problematische Natur der Vertrauensmodelle hinter jeder Internet-Transaktion."

Update: Die Kollegen von "heise online" haben inzwischen eine technischere Meldung dazu veröffentlicht, wie genau Flame Windows Update kompromittiert hat - für Interessierte unbedingt lesenswert.