То, чего давно боялись специалисты по информационной безопасности, наконец-то произошло. Вредоносные программы начали использовать сертификаты компании Microsoft и эксплуатировать систему автоматических обновлений Windows Update. По крайней мере, именно такой механизм использовал шпионский троян Flame, вероятно, созданный спецслужбами США.

Как известно, Flame был обнаружен около трёх недель назад. До настоящего момента специалисты из независимых антивирусных компаний совместно с Microsoft пытались выяснить, как ему удаётся распространяться на все компьютеры внутри локальной сети. Оказалось, что Flame использует технику MiTM («человек-в-середине»), чтобы перехватить запрос к серверу Windows Update и извлечь действующий сертификат Microsoft на одной из заражённых машин в локальной сети, и уже с этим сертификатом он копируется на другие машины, объясняют специалисты MS в корпоративном блоге. Захват сертификата осуществляется в момент, когда компьютер осуществляет автоматическое обновление и связывается с одним из серверов Windows Update. После этого на данной машине создаётся фальшивый сервер Windows Update под именем MSHOME-F3BE293C, а обновления на других компьютерах в сети проходят уже через инфицированную машину, которая рассылает на все остальные компьютеры фальшивый апдейт WuSetupV.exe с таким описанием:

“update description=”Allows you to display gadgets on your desktop.”
displayName=”Desktop Gadget Platform” name=”WindowsGadgetPlatform”>

Установкой трояна на всех компьютеры в сети занимается модуль Munch, входящий в состав Flame.

Для захвата сертификата использовалась уязвимость в протоколе, который использовала Microsoft для работы сервиса Remote Desktop. Несколько дней назад Microsoft закрыла уязвимость, выпустив апдейт KB2718704.

Данный случай ещё раз демонстрирует проблемы с доверием в инфраструктуре цифровых сертификатов, выдаваемых частными компаниями, а также вероятность наличия других подобных уязвимостей в Windows. Не секрет, что ведущие хакерские группы успешно торгуют эксплойтами Windows, продавая их государственным спецслужбам разных стран и утаивая информацию от Microsoft. Таким образом, государственные агентства получают возможность выпускать новые инструменты для кибершпионажа.

Оставить мнение