Als vor Kurzem die ersten Meldungen über die hauptsächlich im Nahen Osten gefundene Malware „Flame“ auftauchten, begannen die US-Kollegen sofort mit der Untersuchung des Schädlings – obwohl schnell fest stand, dass der Großteil aller Windows-Nutzer nicht von Flame betroffen sein wird. Der Schädling wurde ausschließlich für einzelne, sehr gezielte Angriffe verwendet. Außerdem entdeckt und entfernt gängige Antivirensoftware Flame inzwischen ebenfalls verlässlich.

Die Untersuchungen ergaben jedoch, dass einzelne von Flame zur Verbreitung verwendete Techniken ebenfalls von anderer, weniger komplexer Malware eingesetzt werden können, um so großflächigere Infektionen zu erzielen. Aus diesem Grund veröffentlichen wir die Resultate der Untersuchung und auch einen Sicherheitshinweis (Microsoft Security Advisory 2718704). Betroffen sind alle Windows-Versionen.

Die Analyse ergab, dass Teile des Schädlings mit Zertifikaten signiert wurden, die den Anschein erwecken, als stamme die Software von Microsoft. Hierzu wurde ein älterer kryptographischer Algorithmus missbraucht. Mit seiner Hilfe konnte der Quellcode signiert werden, so dass dieser so aussah, als stamme er vom Microsoft Terminal Server Licensing Service. Mit diesem Dienst konnten Kunden Remote Desktop Services in ihrem Unternehmensnetzwerk autorisieren. Die Analyse ergab, dass sich die Zertifikate auch zum Signieren von Code verwenden ließen. Weitere technische Details hierzu im SRD-Blog der US-Kollegen.

Der jetzt veröffentlichte Sicherheitshinweis erläutert die notwendigen Schritte, um Software zu blockieren, die durch diese Zertifikate signiert wurde. Außerdem hat Microsoft ein Update veröffentlicht, das alle notwendigen Schritte automatisch umsetzt. Nachdem diese Schritte umgesetzt wurden, akzeptieren Windows-Systeme bereits von Malware-Programmierern signierten Code nicht mehr länger. Zudem wird der Terminal Server Licensing Service keine Zertifikate mehr ausstellen, die sich zum Signieren von Code verwenden lassen.

Microsoft sind derzeit keine Angriffe bekannt, die – außer der Flame-Malware – auf den Missbrauch der Zertifikate bauen. Außerdem ergab die Analyse des Schädlings, dass dieser keine bislang unbekannten Zero-Day-Exploits zur Infektion der Systeme verwendet.