Svag kryptering gør det muligt at kapre Windows Update

Illustration:
De falske sikkerhedscertifikater, som blev brugt af spionprogrammet Flame, kunne også bruges til at spoofe Microsofts Windows Update-tjeneste.

Microsoft måtte mandag udsende en ekstraordinær sikkerhedsopdatering, som spærrer for de sikkerhedscertifikater, som er blevet brugt af spionprogrammet Flame. Det skete for at forhindre et muligt angreb mod den automatiske opdateringsfunktion i Windows.

Ifølge Microsofts chef for Trustworthy Computing, Mike Reavey, ville det være muligt at bruge den samme svaghed, som blev brugt af Flame-malwaren, til at spoofe Windows Update. Det skriver Mike Reavey i et blogindlæg.

Det ville dog kun kunne lade sig gøre som et såkaldt man-in-the-middle-angreb, hvor en hacker kunne skabe en forfalsket Windows Update-tjeneste, få dirigeret et offers pc ind på den falske server og derefter få installeret ondsindet software med en forfalsket Microsoft-signatur.

»Det er en teoretisk mulighed, at man kunne spoofe Windows Update. Det bliver taget meget alvorligt. Vi har ikke takseret Flame til at være det mest alarmerende i år, men vi holder et vågent øje den,« siger sikkerhedschef Morten Juul Nielsen fra Microsoft i Danmark til Version2.

Læs også: Microsoft udsender anti-Flame-opdatering til Windows

Flame-programmet brugte certifikater, som fik dele af softwaren til at se ud til at være udgivet af Microsoft. På den måde så programmet og dets adfærd mindre mistænkelig ud.

Certifikaterne var fremstillet ved hjælp af en kollisionssvaghed i en krypteringsalgoritme, som kunne bruges sammen med Microsofts Terminal Services' funktion til at underskrive software.

»Det første skridt, er det, vi har taget nu, hvor vi først har gjort opdateringen tilgængelig. Når vi har kørt det lidt tid og fået erfaringer med det, så ruller vi det ud på Windows Update,« siger Morten Juul Nielsen.

Microsoft vil desuden arbejde på at hærde Windows Update-tjenesten, så der bliver lukket for at kunne udføre spoofing ved hjælp af falske certifikater.

Læs også: Spionprogrammet Flame brugte 80 domæner og var fire år under opsejling

Flame-programmet har fået stor medieopmærksomhed, fordi det er det seneste i en række eksempler på langvarige hackeraktioner, som tilsyneladende er udført med det formål at få adgang til dokumenter, tekniske tegninger og kontrolsystemer i lande i Mellemøsten.

Eksempelvis menes USA og Israel at have stået bag Stuxnet, som angiveligt blev brugt til at sabotere et anlæg til oparbejdning af uran, som menes at kunne bruges til atomvåben i Iran.

Stuxnet var dog designet til at sabotere et bestemt anlæg ved at overtage styringen med Windows-computere, som kontrollerede produktionsudstyret. Flame-programmet minder derfor mere om et andet spionprogram, Duqu, som ligesom Flame tilsyneladende var skabt til at stjæle dokumenter og filer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere