Flame izkoriščal Microsoftove certifikate

Pred tednom dni smo pisali o novo odkritem kosu zlobne programske opreme z imenom Flame, ki vohuni še bolj zvito kakor Stuxnet. O obsežnosti in sofisticiranosti Flama pričajo njegova velikost, izrazita modularnost in taktike za izmikanje odkritju. Vodja razvoja v F-Securu Mikko Hypponen - ki je imel že lani julija še pred odkritjem Flama izjemno zanimivo predavanje o računalniški varnosti v okviru TED Talks - je nad dogodki zaskrbljen.

Kot pravi, so njegovo in ostala varnostna podjetja imela primerke kode, okužene s Flamom že najpozneje leta 2010 in verjetno že prej, a jih nihče ni analiziral. Sistemi za avtomatično javljanje so to kodo zaznali, a je niso označili kot varnostno tveganje, zato se je nihče ni lotil pregledovati. Podobno tudi Stuxneta več kot leto dni po izpustitvi v divjino interneta ni nihče opazil, ali pa manj znanega, a nič manj uničujočega DuQuja. Kar te programe ločuje od klasične zlobne kode, je njihova sofisticiranost, ki daje slutiti, da za njimi stojijo vplivni in bržkone državni naročniki. Očitno je, da gre povsem drugo ligo od tiste, v kateri so pisci protivirusnih rešitev. Te zmorejo zaznati običajne viruse, črve, keyloggerje, a odpovedo pri Stuxnetu podobnih okužbah. In pošteno se bodo morali potruditi, da se prebijejo nazaj v isto ligo.

Medtem je Microsoft razvozlal košček uganke, kako se je Flame tako uspešno skrival. Namesto klasičnih pristopov zakrivanja in brisanja kode, so ga avtorji podpisali kot zaupanja vredno Microsoftovo aplikacijo. Microsoft je odkril ranljivost v starejšem kriptografskem algoritmu, ki se je uporabljal za podpisovanje certifikatov s strani Microsoftovega Terminal Services. Ti so načeloma namenjeni le za potrjevanje statusov licenc, a jih je mogoče zlorabiti tudi za podpis kode. Ni še znano, ali jih je zlorabil kakšen Microsoftov zaposleni ali gre za zunanji napad. Kakorkoli, sistemi so potem kodo prepoznali kot Microsoftov program oziroma še več, Flame sam se je zamaskiral kot Windows Update.

Zato je Microsoft izdal izredni popravek in ni čakal na Patch Tuesday, ki bo šele naslednji teden. Omenjen certifikate so uvrstili na listo zaupanja nevrednih certifikatov in popravili algoritem za podpisovanje, tako da ranljivosti ni mogoče več izkoriščati. Obremenjeni so bili vsi sistemi od Windows XP SP3 dalje.