Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 45, views: 23.993 •
Submitter: Icingdeath

Microsoft heeft in Windows drie van zijn eigen certificaten verwijderd. De certificaten werden gebruikt voor het signen van de onlangs ontdekte Flame-trojan en maakten gebruik van een inmiddels verouderd algoritme voor encryptie.

Drie Microsoft-certificaatautoriteiten worden door middel van een update voor Windows geblokkeerd, heeft Microsoft bekendgemaakt. De update is zondagnacht uitgegeven. Als de update is geïnstalleerd, kan malafide code zich niet langer voordoen alsof deze door Microsoft is ontwikkeld.

De getroffen certificaten maakten gebruik van verouderde cryptografie en konden daarom worden gekraakt, legt het bedrijf uit. De certificaten werden gebruikt voor het uitgeven van licenties voor Windows' Terminal Service, die het op afstand gebruiken van applicaties mogelijk maakt. Die certificaten, drie in totaal, maakten het ook mogelijk om code te ondertekenen.

Daardoor konden kwaadwillenden code ondertekenen met een certificaat van Microsoft, waardoor het leek alsof deze afkomstig was van de softwaregigant uit Redmond. Dat is dan ook de reden dat de malware niet door virusscanners werd opgemerkt, hoewel het virus al sinds 2010 in omloop zou zijn.

De Flame-trojan kwam vorige week pas in de openbaarheid; beveiligingsbedrijf Kaspersky ontdekte de nieuwe malware, die het gemunt zou hebben op computers in het Midden-Oosten. Het zou geavanceerder zijn dan de Stuxnet- en DuQu-trojans. Van die laatste twee wordt vermoed dat ze door de Amerikaanse overheid in samenwerking met Israël zijn ontwikkeld. Of dat bij Flame ook zo is, is nog onduidelijk.

Microsoft fail

Reacties (45)

knap staaltje van Virus engineering. Moet zeggen dat de ontwerper(s) echt wel hun best hebben gedaan.
Inderdaad, jammer dat een virus bedoel is om schade aan te richten of dingen te stelen oid, maar software/programmeer-technisch gezien is het brilliant.

Zeker als het nu pas ontdekt is terwijl het vanaf 2010 in omloop is!
Microsoft werkt nauw samen met de NSA en heeft daar een speciale afdeling. Een trojan die gebruik maakt van Microsoft certificaten en al twee jaar onopgemerkt opereert? Hoogst verdacht. Zouden het bij Microsoft echt zulke koekwousen zijn? Ik denk het niet. Ook de aard van het virus laat zich vermoeden dat dit in gebruik is bij geheime diensten. Daarom heeft het ook zo een lang tijd ongehinderd zijn gang kunnen gaan. Je moet ook niet denken dat als je bij Microsoft meldt dat je een exploit hebt gevonden ze in een versnelling gaan om een patch uit te brengen. Nee, in tegendeel, er wordt grote druk op je uitgeoefend dat je mond er over houdt zodat de exploit nog een tijdje gebruikt kan worden. Of dat luiheid is, onvermogen, of andere belangen daar mag je naar raden. Lees maar hier

Nou ja het maakt ook niet veel uit, aangezien er jaarlijk meer dan een miljoen exploits voor Windows worden ontdekt, is het sowieso een gatenkaas. Je mag zelf raden hoeveel ontontdekte exploits er op enig moment zijn. Voor Apple en Linux ligt het aantal in de orde van 50 en 15. Om een idee te krijgen van "veiligheid" van Windows. En dan nog durven de heren te roepen dat Windows veiliger is omdat Microsoft zoveel expertise en ervaring met exploits en virussen heeft.

Waarom hebben landen als Rusland en China nooit Linux omarmt? Heel simpel, het is veel te veilig. Big brother wil graag meekijken wat de burger doet en Windows heeft zoveel open ramen dat niemand zich kan afschermen hoeveel firewalls en antivirus spul hij er ook op installeert.

[Reactie gewijzigd door Magalaan op 4 juni 2012 15:26]

In Rusland wordt linux veel gebruikt en in China hebben ze zelfs minstens 1 eigen officieele distributie juist om Amerikaanse invloeden te omzeilen. Of die distributie wat extra spyware heeft, is me echter niet bekend.
Als die landen wilden hadden ze Linux al lang verplicht gesteld, maar ze doen nauwelijks iets om Linux te bevorderen. Met staatssteun van China of Rusland zou Linux zo uitgroeien tot een echte concurrent van Windows. Dan zouden driver problemen ook al lang op gelost zijn. In werkelijkheid gebruiken ze Linux meer als een troefkaart naar Microsoft. Ze laten hun bevolking op grote schaal met illegale kopieen van Windows werken, maar Microsoft is voorzichtig om daar bezwaar tegen te maken. MS is al blij dat Windows zo een wereldstandaard is en als de dood voor Linux. Als MS protesteert vaardigt de Chinese regering een decreet uit dat alle internet cafes over moet schakelen op redflag Linux en dan houden ze weer snel hun mond.

De Linux distributie waar jij het over hebt "Red flag" is een lachertje. Ik heb het wel een geinstalleerd een matige xp-kloon. Laatste versie is al weer 3 jaar oud, zo hard werken ze eraan. In China hebben ze zoveel hoog opgeleide mensen dat velen de straat vegen, als de regering een paar honderd programmeurs full time Linux zou laten ontwikkelen of daar bedrijven voor op zouden zetten, zou dat al gelijk een enorme impact hebben. Maar het gebeurt niet. Waarom niet? Waarom blijven Chinezen en Russen een Amerikaans systeem toestaan dat een verlengstuk is van de Amerikaanse veiligheidsdiensten? Het antwoord is eenvoudig omdat het ze zelf ook toegang geeft en het ze niet veel kost omdat het meeste toch illegaal is. Landen als Rusland en China willen hun burgers in de gaten kunnen houden, dan moet je geen Linux hebben maar Windows. Windows is zo lek als een mandje en bijkomend voordeel is dat niemand jou beschuldigt van het maken van backdoors want die zitten er al in.

Mensen moeten eens logisch leren nadenken. Je kan niet iets ontdekken wat er niet al is. Als er voor Windows jaarlijks een miljoen exploits worden ontdekt dan betekent dat ook dat er jaarlijks een miljoen onontdekte exploits zijn, want de meeste exploits worden pas ontdekt nadat ze misbruikt zijn en een hoop worden pas na jaren ontdekt. Dat jouw virus verklikker niet continu alarm slaat wil niet zeggen dat je virus vrij bent maar de de geheime diensten en criminelen hun spul tijdig updaten. Alleen amateurs gebruiken verouderd spul.

Alleen als ze spul gebruiken dat verouderd is slaat jouw verklikker alarm. Alarm, alarm, ik heb een oud beveiligingsrisico ontdekt. Als beveiligingsfirma's het hebben over "nieuwe" virussen bedoelen ze dan ook steevast "pas ontdekte" virussen. Dat ding kan al een hele tijd in omloop zijn. Daarom Is Windows gewoon een vergiet. Rusland en China vinden het prima dat hun bevolking een vergiet gebruikt, bespaart ze de moeite er zelf een te maken. En dat er ingebroken wordt op hun bedrijven? Zolang ze zelf veel harder inbreken op Westerse bedrijven is de balans positief. Zij denken, laten we de beveiliging vooral niet opvoeren zolang wij technologisch nog achter lopen.

En even ter vergelijking, voor Linux worden jaarlijks iets van 15-20 exploits ontdekt en daarvan is er geen een die zelfstandig jouw computer kan compromitteren, ze moeten jouw actieve hulp hebben. De enige manier om Windows veilig te krijgen is de computer af te koppelen.

[Reactie gewijzigd door Magalaan op 4 juni 2012 15:58]

Ik weet niet wat je bron is. Maar je bent lekker aan het trollen.

1) Beweren dat Linux verplichten een beter alternative is dan vrije keuze. Ieder OS heeft fouten.
2) "Windows jaarlijks een miljoen exploits" is niet waar, veel virussen staat niet gelijk aan veel exploits.
3) Alleen de kernel van Linux vergelijken met Windows als geheel is geen eerlijke vergelijking. Je moet een Linux distributie vergelijken met Windows.
4) "Windows jaarlijks een miljoen exploits" en "Linux worden jaarlijks iets van 15-20 exploits" is onwaar. Het is eerder het tegenover gestelde, meer exploits in Linux dan in Windows.

http://secunia.com/?actio...ia_Yearly_Report_2011.pdf
Common Vulnerabilities and Exposures:
Red Hat: 982
Canonical 625
Debian: 563
Apple: 360
Microsoft: 231

[Reactie gewijzigd door Cobalt op 4 juni 2012 16:56]

Het is eerder het tegenover gestelde, meer exploits in Linux dan in Windows.
Helaas gaat jouw vergelijking ook weer nat. Een distro wordt geleverd inclusief heel veel optionele software. Je zou bij Microsoft bij wijze van spreken ook deVulnerabilities and Exposures van Office, Exchange, Sharepoint, Age of Empires... enz. mee moeten tellen.

Het blijft een 'appels met peren' vergelijking, als je puur naar de cijfers kijkt.

Wel een prestatie als het je lukt om 1 a 2 jaar onder de radar te blijven als malware zijnde. Dat roept dan de vraag op of het nu aan het licht is gekomen door een grote uitbraak, een fout in de software, of dat het nu pas op grote schaal wordt ingezet.
Als die landen wilden hadden ze Linux al lang verplicht gesteld, maar ze doen nauwelijks iets om Linux te bevorderen.
Grote(re) mogendheden moetn niks hebben van een Open Source OS omdat ze daar geen al dan niet semi-legale controlemiddelen bij in kunnen zetten.
Simpel als dat.

Zelfs encryptie algoritmes uit het Sovjet tijdperk zijn verdacht omdat de staatsveiligheidsdiensten daar achterdeuren in hebben zitten.
Zelfs dictaturen stellen geen OS'sen verplicht. Kan je nagaan hoe sterk de marktwerking is.

Ik ben voorstander van Linux, maar als een klant Windows nodig heeft krijgt hij Windows. Simpel zat. Zelfs de server mag Windows draaien, dan is het alleen wel duurder om te beheren.
Als je je een beetje had ingelezen over Flame zou je hebben gezien dat het onopgemerkt is gebleven omdat oa:
  • Het door mogendheden als de VS en Israel ontwikkelt is en gebruik maakte van maar liefst vier 0-day exploits (en dus drie gekraakte certificaten om code te ondertekenen)
  • Het zichzelf niet verspreidde maar alleen op commando handmatig werd geinstalleerd (zeg maar minder dan 10.000 computers) en dit geldt eveneens voor alles wat het deed - elke module werd handmatig aangestuurd door mensen in de VS/Israel (dit scheelt enorm in detectie aangezien elke module afzonderlijk encrypted was)
  • Het na een selfdestruct bevel zichzelf volledig verwijderde zonder enig spoor achter te laten
Beetje erg triest dat je zonder je in te lezen dit aangrijpt om de liefde aan Apple te verklaren. Natuurlijk werkt MS nauw met inlichtingendiensten samen (dit is bij wet verplicht in de VS, net als sinds kort het inbouwen van backdoors) - en jij dacht dat dit voor Apple niet geldt omdat jij Steve Jobs graag op z'n blauwe ogen vertrouwd? Laat me niet lachen.
Hou op onzin uit te kramen ;)

Linux bevat wel wat meer exploits dan 50 en jij sugereert dat Windows niet in china of rusland aanwezig is omdat het onveilig is? Dat zijn al 3 onwaarheden in 1 zin. Net zoals jij ONZIN zit uit te kramen.


ON TOPIC: Jammer dat MS hun eigen certificaten niet behandelt zoals zij willen dat je een MS-netwerk gebruikt: Updaten en vernieuwen!
Of men heeft hun best gedaan en dat certificaat inderdaad gekraakt.
Of men heeft het gestolen van Microsoft en vervolgens gebruikt.
Of, en dat is met het oog op waar Stux vandaan kwam nog het gevaarlijkst - Microsoft heeft hier moedwillig aan meegewerkt.

Het laatste zou natuurlijk levensgevaarlijk zijn voor het bestaan van Windows in landen als China en Iran.
Het is natuurlijk niet helemaal ondenkbaar dat Microsoft ook om hulp is gevraagd bij ontwikkeling van Stuxnet en Flame. Dat zou ook verklaren hoe ze aan de zero-day exploits kwamen. En aan geldige certificaten (met een goed verhaal mocht het virus ontdekt worden)
Dat is wat ik ook dacht. En nu doet MS alsof ze van niets wisten. Maar hoe reeel is het dat MS zwicht voor de Amerikaanse overheid met betrekking tot (kwetsbaarheden in) certificaten?

Via deze indirecte manier is de amerikaanse staat niet direct aan te wijzen (want hun eigen certificaten zijn niet gebruikt immers)

Wel zou MS op de hoogte kunen zijn van deze kwetsbaarheden en de amerikaanse staat doorgeven deze zodat deze het kunnen gebruiken totdat de fix er is kunnen hebben laten gebruiken. Maarja dat kan MS reputatieschade opleveren. Misschien betaalt de staat genoeg of heeft andere drukmiddellen beschikbaar om MS dit te laten doen.


Al met al.. niet heel waarschijnlijk. Zero-day kwetsbaarheden zijn immers gewoon te koop.

[Reactie gewijzigd door Floriss op 4 juni 2012 13:54]

Al met al.. niet heel waarschijnlijk. Zero-day kwetsbaarheden zijn immers gewoon te koop.
Dat is geen vanzelfsprekendheid. Het hangt uiteindelijk af van de ontdekker. Die kan ze ook best voor eigen gebruik willen houden, dan hou je de exposability het laagst.
Wat natuurlijk ook de vraag opwerpt of MS-producten opzettelijke achterdeurtjes t.b.v. de Amerikaanse overheid bevatten, en of zero-day-exploits niet eigenlijk de achterdeurtjes zijn die ontdekt zijn door buitenstaanders.

Per slot van rekening horen we de laatste tijd van openlijke eisen van de FBI m.b.t. achterdeurtjes, en er zijn weinigen die twijfelen aan de aanwezigheid van achterdeurtjes in het Skipjack-algoritme (ooit bedoeld om via de Clipper-chip de verplichte/enige toegestane hardware-encryptie te zijn).
Wat natuurlijk ook de vraag opwerpt of MS-producten opzettelijke achterdeurtjes t.b.v. de Amerikaanse overheid bevatten,
Dat was het niet nodig geweest om de certificaten te kraken.
Idd, als je de private key gewoon krijgt, dan hoef je hem niet te kraken.

Waar staat dat ze hem gekraakt hebben? Oh ja, nergens. Alleen de suggestie dat het zo gegaan zou zijn.
Waarschijnlijker lijkt me dat MS niet officieel op de hoogte was, maar dat er wel een paar personeelsleden op de loonlijst van een of andere geheime dienst staan of stonden.
Het meest bizarre is ook nog de "geruchten" dat dit mogelijk van de overheden van Amerika en IsraŰl vandaan komt...
zoals ik al eerder zei in vorige related bericht: het moest eens niet van amerika komen het kot was te klein
Dat was met Stuxnet toch het geval? Flame niet?
Waarom is dat bizar? Dat is ook niet echt een gerucht, Israel heeft dit ondertussen min of meer toegegeven http://www.deredactie.be/...nd/120604_Cyberwar_Israel.
Volgens Ars is het bevestigd dat de VS en Israel het Stuxnet virus ontwikkeld hebben. Zoals het een sci-fi film betaamt 'ontsnapte' het virus echter in het wild, en had het gedrag (dwz automatisch verspreiden via internet) dat niet voorzien was. iig wel een goed verhaal om te lezen.
Na het lezen van het bericht in jouw post kwam kwam ik op dit gerelateerde artikel uit.
IMHO ook het lezen waard.
http://arstechnica.com/se...-catch-flame-and-stuxnet/
Virus ontsnapt, dat lijkt me sterk ik denk eerder iets van:

virus gebruiken.
doel bereikt.
dan fix uitgeven.

Of ben ik dan paranoide? dat ze het hebben laten ontsnappen, wel of niet expres.
Ik hoop voor die lui dat het expres was want anders zijn we echt in diepe sht.
Dit zijn de lui met the finger on the button kuch nuke kuch.

[Reactie gewijzigd door Nature op 4 juni 2012 22:12]

**Ja inderdaad, ik las het even door maar ik was ook in een ander artikel aan het lezen. Als je even vluchtig leest en de alt tekst van het plaatje erbij neemt ga je er snel van uit dat het aan die ''update'' ligt.

[Reactie gewijzigd door iNFiNiTY- op 4 juni 2012 14:21]

De fix verhelpt juist het probleem. Waarom de redactie ervoor heeft gekozen om een screenshot van de update te plaatsen ontgaat me een klein beetje, het schept inderdaad wat verwarring omdat het doet voorkomen alsof de update het probleem is, zeker in combinatie met de alt-tekst van het plaatje.

[Reactie gewijzigd door Gunner op 4 juni 2012 14:00]

LOL, ja ik zat twee dingen tegelijk te lezen. 8)7

**Ja zoals ik al heb uitgelegd.

[Reactie gewijzigd door iNFiNiTY- op 4 juni 2012 14:22]

Waarom zou je deze update willen verwijderen?

Je hebt hier enkel iets aan als je dit certificaat zelf nog ergens voor gebruikt. Anders is het aanhouden een beveiligings issue.
Zouden die verouderde encryptie heel simpel gekraakt kunnen worden of zou je een giga computer (grid) nodig gehad hebben om te brute forcen.
40bit sleutels kan de NSA nu al achterhalen, dus mogelijk ging het daarom. 128bit is iets lastiger, zelfs voor hen. Maar daar hebben ze een andere oplossing voor: gewoon alles wat encrypted is opslaan totdat ze het wel makkelijk kunnen kraken. Als je van je vijand weet waar ze het in het verleden over hadden kan je een betere inschatting van het heden maken.

http://www.wired.com/thre...03/ff_nsadatacenter/all/1

Daarnaast heeft de NSA ongeveer 80% van de slimste wiskundigen in dienst, dus het kan goed zijn dat ze een zwakheid in het algoritme hebben gevonden. Kijk bijvoorbeeld naar DES, voor dat algoritme stelde de NSA in de 70's een verandering voor zonder te zeggen waarom, en pas na 1980 werd duidelijk dat er een zwakheid in het algoritme zat die door de voorgestelde verbetering grotendeels buitenspel werd gezet.
NSA was embroiled in some minor controversy concerning its involvement in the creation of the Data Encryption Standard (DES), a standard and public block cipher algorithm used by the U.S. government and banking community. During the development of DES by IBM in the 1970s, NSA recommended changes to some details of the design. There was suspicion that these changes had weakened the algorithm sufficiently to enable the agency to eavesdrop if required, including speculation that a critical component—the so-called S-boxes—had been altered to insert a "backdoor" and that the reduction in key length might have made it feasible for NSA to discover DES keys using massive computing power. It has since been observed that the S-boxes in DES are particularly resilient against differential cryptanalysis, a technique which was not publicly discovered until the late 1980s, but which was known to the IBM DES team. The United States Senate Select Committee on Intelligence reviewed NSA's involvement, and concluded that while the agency had provided some assistance, it had not tampered with the design.
edit:
het was DES

[Reactie gewijzigd door raphidae op 4 juni 2012 14:43]

Is die update op de onderstaande afbeelding nou de vereiste update om dit lek te dichten of is dat juist de Trojan??
Ik keek net in Windows update en zag dezelfde update van 91KB staan.
Heb dezelfde update opgezocht via de site van microsoft maar daar staat dat de update 258KB is.

[Reactie gewijzigd door AdmiralSnipe op 4 juni 2012 15:18]

Vraag ik me ook af,bij mij is die ook 91KB.
Flame in zijn huidige versie is 6MB in basis en met modules 20MB. De kleinste versie van Flame bedraagt 900kb, dus wees niet bang :)

Daarnaast wordt Flame heel goed herkend door Anti-Virus producten momenteel, dus als je Anti-Virus up2date is, dan hoef je je geen zorgen te maken (los van het feit dat Flame alleen gericht gebruikt wordt en getarget is op Iran/midde oosten), dus ook zonder AV hoef je je geen zorgen te maken over Flame :)
Ah, goed om te horen!
Vond het alleen een beetje verwarrend omdat er een afbeelding van de update onder stond terwijl het artikel juist over het virus zelf ging.
Las overigens wel dat Flame ook al buiten het Midden Oosten was opgedoken maar het klopt idd wel dat het op het Midden Oosten gericht is.
Dat beeld is nogal vertekend omdat contagio samples publiekelijk heeft opgengesteld + de instructies hoe je jezelf met Flame kan infecten. Dit gebeurt naast de profs van de AV bedrijven ook door een hoop mensen die gewoon nieuwschierig zijn; daardoor krijg je een scheef beeld in de stats.
Het is iets erger dan wat er beschreven wordt.

Flame heeft zichzelf kunnen installeren door zich met het certificaat van Microsoft te ondertekenen en vervolgens via een Man in the Middle (MitM) attack zichzelf via Windows Update kunnen installeren op doel machines.

Het is ook niet zo dat er iets 'gekraakt' is, het was gewoon een feature van Microsoft die misbruikt is. Details: http://threatpost.com/en_...alidate-components-060412

Daarnaast is Microsoft een van de meest whitelisted bedrijven, wat de kans op ontdekking nog verder terug heeft gedrongen.

Interessante (recente) links:

Tacken en Sinkholen van de C&C Servers: http://www.securelist.com/en/blog?weblogid=208193540

C&C Domain analysis: http://blog.opendns.com/2...sight-into-flame-malware/

Voor oudere info, zie mijn eerder posts: CMG in 'nieuws: Nieuwe geavanceerde trojan verschijnt in het Midden-Oosten' en CMG in 'nieuws: Nieuwe geavanceerde trojan verschijnt in het Midden-Oosten'

[Update]
Kaspersky heeft verder uit de doeken gedaan hoe de MitM plaats vond: http://www.securelist.com...reading_vector_identified F-Secure heeft een soortgelijk verhaal geschreven: http://www.f-secure.com/weblog/archives/00002377.html

[Reactie gewijzigd door CMG op 4 juni 2012 20:55]

Vanochtend automatisch geinstalleerd, maar wel goed om duidelijk te horen waarvoor die was.
Kaspersky is goed bezig, fijn dat ik het op mijn computers het ook gebruik.

Op dit item kan niet meer gereageerd worden.