hit counter
Microsoft Security Advisory 2718704 su Certificati non autorizzati utilizzati dal malware Flame - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Microsoft Security Advisory 2718704 su Certificati non autorizzati utilizzati dal malware Flame

Microsoft Security Advisory 2718704 su Certificati non autorizzati utilizzati dal malware Flame

  • Comments 1
  • Likes

[English readers: you can find English links in this post for your convenience]

This article has been updated, look at the end of the blog post for updates.

Microsoft ha rilasciato questa notte un Security Advisory che segnala la scoperta di alcuni certificati digitali non autorizzati che risalgono ad una sub-Certification Authority di Microsoft, e avvisa della presenza di un aggiornamento tramite Windows Update per tutte le versioni di Windows che disabilita tali sub-CA per proteggere gli utenti da possibili attacchi in grado di sfruttare questi certificati.

 

Microsoft Security Advisory (2718704) - Unauthorized Digital Certificates Could Allow Spoofing

MSRC Blog > Microsoft releases Security Advisory 2718704

SRD Blog > Microsoft certification authority signing certificates added to the Untrusted Certificate Store

 

La scoperta è avvenuta nell’ambito delle investigazioni sul ben noto malware “Flame”: alcuni componenti di tale malware sono apparsi firmati da un certificato Microsoft e nel risalire alla Certification Authority a cui facevano riferimento si è scoperto che era stato possibile manipolare un vecchio algoritmo di crittografia utilizzato dalla struttura di gestione delle licenze di Terminal Services per sfruttare, in modo improprio, il certificato emesso da tale entità come un certificato utile per la firma di codice.

In questo modo sarebbe possibile firmare del codice, anche pericoloso (come quanto già avvenuto per alcuni componenti del malware Flame già citati), facendolo apparire come legittimamente firmato da Microsoft.

E’ bene precisare che questo problema non rappresenta la modalità iniziale con cui eventualmente ci si può infettare con il malware Flame, ma è sicuramente una situazione che agevola l’installazione dei componenti nocivi che appaiono al sistema operativo Windows come se fossero firmati in modo legittimo e quindi non vengono bloccati. Cercherò di tornare sull’argomento “Flame” ma segnalo che al momento non si ha prova di esistenza di alcuna vulnerabilità 0-day che sia utilizzata per l’infezione, che ricordo essere, al momento, molto limitata e circoscritta ad alcune precise realtà geopolitiche.

 

Cosa devono fare gli utenti per proteggersi: nulla se hanno lasciato abilitato il meccanismo degli Aggiornamenti Automatici di Windows in modo da ricevere e installare automaticamente l’aggiornamento KB2718704 appena pubblicato. Per coloro che provvedono all’aggiornamento manuale o controllato dagli amministratori invito alla consultazione dell’articolo della Microsoft Knowledge Base Article 2718704.

Aggiornamento del 5 giugno 2012: il MSRC ha fornito ulteriori dettagli segnalando che si provvederà ad irrobustire il servizio di Windows Update (che sarebbe di fatto a rischio di spoofing a causa degli stessi certificati non autorizzati, se combinati con un attacco Man-in-the-Middle) non appena sarà terminata la distribuzione dell’update KB2718704:

MSRC Blog > Security Advisory 2718704- Update to Phased Mitigation Strategy

Aggiornamento del 6 giugno 2012: il MSRC ha segnalato l’avvio del processo di hardening di Windows Update/WSUS e ha fornito maggiori dettagli tecnici sul collision attack:

MSRC Blog > Security Advisory 2718704- Collision attack details, WU update rollout

SRD Blog > Flame malware collision attack explained

Microsoft Update Product Team Blog > Update to Windows Update, WSUS Coming This Week

Su questo ultimo aspetto è da notare che l’hardening di Windows Update consisterà in due azioni: cambio del certificato con cui si firmeranno gli aggiornamenti di sicurezza, passando all’utilizzo di quello che al momento è usato solo per firmare gli aggiornamenti del client di Window Update, e un rafforzamento analogo (probabilmente verranno usate chiavi legate a questo nuovo certificato) del canale di comunicazione tra il client e il servizio.

Aggiornamento dell’ 8 giugno 2012: E’ stato reso disponibile anche l’aggiornamento da installare sui sistemi WSUS per mettere in atto il rafforzamento di Windows Update già citato (l’articolo di KB include gli hash SHA1/SHA2 per permettere la verifica dei file distribuiti con questo aggiornamento):

WSUS Product Team Blog > Further Hardening of WSUS Now Available

http://support.microsoft.com/kb/2720211

 

Feliciano

Other related posts/resources:

Comments
  • Grazie. Tempestivi, come sempre!

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment