Microsoft Security Advisory 2718704

Originalartikel auf dem Trend Micro Malware Blog

Letzten Sonntag hat Microsoft das Security Advisory 2718704 veröffentlicht. Darin wird ein Update angekündigt, das zwei von Microsoft herausgegebene Certificate Authority (CA)-Subzertifikate in allen aktuell unterstützten Windows-Versionen für ungültig erklärt. Es handelt sich um die Subzertifikate

  • Microsoft Enforced Licensing Intermediate PCA (2 Zertifikate)
  • Microsoft Enforced Licensing Registration Authority CA (SHA1)

Wie in Microsofts Advisory dargestellt, hat die Analyse der Flame-Attacke ergeben, dass diese Zertifikate dazu missbraucht wurden, unautorisierte digitale Zertifikate auszustellen. Diese wurden von den Angreifern dazu benutzt, Komponenten der Flame-Attacke so aussehen zu lassen, als ob sie von Microsoft signiert wären. Die Schädlingskomponenten hatten folglich fälschlicherweise den Anschein, Microsoft-Code zu sein, und spielten bei der Infektion der Systeme durch einen Man-in-the-middle (MitM)-Angriff gegen den Windows Update-Mechanismus von Microsoft eine Rolle.

Während Trend Micro und andere erklärt haben, dass die Flame-Attacke begrenzt ist und keine umfassende Bedrohung für Kunden darstellt, handelt es sich bei der Fähigkeit, bösartigen Code mit diesen Zertifikaten zu signieren und dadurch Sicherheitsprüfungen zu umgehen, durchaus um eine potenzielle, umfassende Bedrohung. Zwar gibt es im Augenblick keine Anzeichen dafür, dass diese Zertifikate in anderen Angriffen benutzt wurden, um Schadsoftware den Anstrich der Legitimität zu verleihen. Allerdings besteht die sehr reale Möglichkeit, dass dies in Zukunft der Fall sein könnte.

Wir fordern daher alle Kunden eindringlich auf, die Sicherheitsaktualisierungen im Zusammenhang mit dem Microsoft Security Advisory 2718704 so bald wie möglich zu installieren. Dadurch werden die beiden Zertifikate ungültig, jeglicher Code, der mit ihnen signiert wurde und möglicherweise Schadsoftware darstellt, wird als nicht vertrauenswürdig gekennzeichnet.

Anfang dieser Woche hat Microsoft zudem auf seinem Blog erklärt, demnächst ein weiteres Update zu veröffentlichen und damit den Windows Update-Mechanismus noch stärker gegen Man-in-the-middle-Angriffe abzusichern. Wir fordern daher alle Kunden eindringlich auf, sich bereits jetzt auf die Veröffentlichung dieser Aktualisierung vorzubereiten, um sie dann so schnell wie möglich einzuspielen.

Auch wenn noch keine breit angelegten Angriffe mittels betrügerischer Zertifikate oder Man-in-the-middle-Angriffe gegen Windows Update beobachtet wurden, sei noch einmal auf deren großes Gefahrenpotenzial hingewiesen. Kunden sollten daher unbedingt das aktuelle Update so schnell wie möglich sowie das künftige ab Verfügbarkeit implementieren.

Wie berichtet, sind Trend Micro-Kunden gegen den Flame-Schädling geschützt. Zusätzlich zur Installation der Microsoft-Sicherheitsaktualisierungen sollten Kunden sicherstellen, dass ihre Trend Micro-Produkte auf dem neuesten Stand hinsichtlich Updates und Signaturen sind. Sie leisten dadurch zu ihrem eigenen Nutzen einen wertvollen Beitrag, um den größtmöglichen Schutz gegen jegliche Versuche, diese Angriffsmechanismen einzusetzen, zu gewährleisten.

Weitere Informationen folgen nach Verfügbarkeit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*