Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 54 reacties, 38.787 views •

Microsoft heeft een tool vrijgegeven, waarmee Windows dagelijks checkt of certificaten zijn vervalst. De tool moet voorkomen dat malware als Flame, dat zichzelf kon signen met vervalste certificaten, als legitieme software wordt gezien.

De tool wordt verspreid in de maandelijkse ronde patches van Microsoft. Tot aan deze update worden gegevens over mogelijk vervalste certificaten alleen verspreid via Windows Update, maar deze tool downloadt elke dag de Disallowed Certificate Trust List op servers van Microsoft. De tool werkt alleen op Windows 7, Vista, Server 2008 en Server 2008 R2.

Door de lijst automatisch te updaten moeten certificaten sneller worden ingetrokken als blijkt dat deze vervalst kunnen zijn. Ook certificaten met zwakke encryptie, zoals met rsa-sleutels met minder dan 1024 bits, worden automatisch geblokkeerd. De maatregel volgt kort op het bekend worden van de malware Flame, een Trojaans paard dat deze week gelinkt werd aan Stuxnet en dat misbruik maakt van verouderde certificaten van Microsoft zelf. Microsoft zet de tool online vlak na een vorige update, om te voorkomen dat malware zich nog eens kan voordoen als legitieme Windows-software.

De tool zou ook van pas zijn gekomen in de Diginotar-affaire, toen bleek dat certificaten van het Noord-Hollandse bedrijf na een hack niet meer konden worden vertrouwd. Ook toen moesten gebruikers een update doorvoeren om ervoor te zorgen dat hun Windows-installatie de certificaten niet langer vertrouwde. Flame zou het vooral hebben voorzien op computers in het Midden-Oosten.

Reacties (54)

Reactiefilter:-154047+131+22+30
Moderatie-faq Wijzig weergave
Is deze oplossing geen symptoombestrijding?
Aan gezien je blijkbaar kan faken dat je DE windows update server bent?
Hoewel je gelijk hebt dat dit symptoombestrijding is, is het wel op korte termijn de beste oplossing. Het gehele systeem is gebaseerd op vertrouwen en dus kan je dit alleen maar voorkomen met een geheel ander systeem.

Let wel, de certificaten van Windows Update zijn nooit gekraakt, maar 'n certificaat van Microsoft wel. Hierbij konden de makers van Flame doen alsof het product een geldige update was en bovenal een geldige executable. Om de update in je systeem te krijgen wordt er gebruikgemaakt van een vrij complexe 'man-in-the-middle' aanval, waarbij de update enkel geÔnjecteerd wordt tussen de 'echte' updates. Je bent dus echt verbonden met de Microsoft server, alleen verloopt de stroom van data via een derde partij. Dit lukt omdat deze derde partij (een geÔnfecteerde computer op jouw netwerk) zich voordoet als een proxy.
De werking van dit is mij bekent.
En dat het complexe MITM aanval vereisen, maakt niet uit. Het is erg intressant om tussen de client en de WUS te zitten.

Ik vind het eng, dat men dus blijkbaar een MITM aanval kan doen op zoiets belangrijks als windows update. Hoe kan de "gebruiker" nu weten of die alleen met de echte WUS spreekt of niet.

Nu blijkt dat dit dus mogelijk is, zullen meerdere mensen technieken gaan ontwikkelen om dit ook te kunnen doen.
Aan gezien je blijkbaar kan faken dat je DE windows update server bent?
Zo eenvoudig is dat niet.
Een dergelijke aanval zou naast gekraakte certificaten ook een complexe MITM aanval vereisen

[Reactie gewijzigd door hAl op 13 juni 2012 08:22]

Ik zie zo de impact niet, maar je hebt 2 lijsten. Disallowed en allowed. Ik durf te wedden dat heel veel bedrijven in de problemen komen met hun eigen self-signed root certificates. Je staat immers niet op de lijst.
Volgens het knowledge base artikel is er reeds een lijst van untrusted certificates afkomstig van trusted authorities (de standaard CRL) en wordt dat nu uitgebreid met een lijst van untrusted certificates van untrusted authorities.

Een self-signed root certificate komt dus alleen in de problemen als Microsoft het expliciet op de lijst zet, wat zelden het geval zal zijn. Bedrijven met self-signed roots certificates hebben dus niks om zich zorgen over te maken.
Ik denk dat Microsoft deze tool al aan het ontwikkelen was sinds die Diginotar affaire.
Het lijkt me sterk dat ze die nu even vanwege flame in elkaar geflanst hebben
De Diginotar affaire was de fout van Diginotar zelf, terwijl Flame zichzelf verspreide via Windows Update, en het daardoor Microsoft zijn verantwoording is dit op te lossen/te voorkomen in de toekomst.. Denk toch dat Microsoft dit daarom niet zomaar even in elkaar geflanst heeft, en er echt wel prioriteit aangegeven is.
terwijl Flame zichzelf verspreide via Windows Update
Nee, flame verspreide zich niet via windows update. Flame gebruikt een MITM aanval om gecertificeerde update executables te verspreiden alsof die vanuit Windows update zouden komen. Dat is geen simpele methode om malware updates te verspreiden.

[Reactie gewijzigd door hAl op 13 juni 2012 09:43]

Als ik goed lees wat het programma doet, dan zie ik geen reden dat ze er al sinds Diginotar aan gewerkt zouden moeten hebben. Zoveel stelt het niet voor toch? :)

Het zorgt er gewoon voor dat de lijst met ingetrokken certificaten dagelijks gedownload wordt in plaats van te wachten op Windows Update. Niet echt bijzonder maar wel een eenvoudige manier om damage control te doen. De kans dat een machine een dag niet online komt is een stuk groter dan dat een machine een maand niet online komt.
Wat ik niet snap is waarom deze 'tool' een tool is en niet standaard onderdeel in Windows. (en dan wellicht configureerbaar in tijd van een uur tot max. een week?)

Wat mij niks zou verbazen is dat deze tool o.a. door de Diginotar affaire ontwikkeld is en nu versneld is afgemaakt en uitgebracht door Flame.
Wat ik niet snap is waarom deze 'tool' een tool is en niet standaard onderdeel in Windows
Dat was in feite al een standaard onderdeel van Windows. Windows Update verzorgde die functionaliteit.

[Reactie gewijzigd door hAl op 13 juni 2012 08:24]

Omdat tijden veranderen, nieuwe manieren worden bedacht om zwakheden op te sporen. MS is geen toekomstvoorspeller.
zolang de tool zelf niet een bron van ellende wordt een aardige tussenoplossing.
Ik neem aan dat er goede checks in deze tool zitten om een exploit erg lastig te maken, maar dat is dan wel een kwetsbaar onderdeel.
Er zit geen enkele check in deze tool, hij download gewoon elke dag een blacklist ipv dat die blacklist elke maand meegestuurd wordt via Windows Update, that's it. Niet fancy maar mogelijk wel effectief
Al mensen die deze update in hun organisatie hebben getest? Volgens mij kun je inderdaad problemen krijgen met self-signed certificates. Ik ben nog een beetje huiverig om deze direct uit te rollen. Voor door deze regel:
Ook certificaten met zwakke encryptie, zoals met rsa-sleutels met minder dan 1024 bits, worden automatisch geblokkeerd

[Reactie gewijzigd door StefanvanGelder op 13 juni 2012 08:13]

Ik ga deze update sowieso blokkeren als dat kan, ik vind de maandelijkse update via wsus prima.
Met diginotar hebben we ook een tijd doorgedraaid met foute certificaten. Je kan moeilijk tegen honderden gebruikers zeggen ja, sorry, je kunt je werk niet meer doen want we hebben een update geÔnstalleerd, ze werken aan nieuwe ceritificaten maar die komen pas over drie maanden.
zou het niet veel eenvoudiger zijn als windows standaard ieder certificaat wat wordt aangeboden controleerd middels een online responder oid. Het kost je aardig wat bandbreedte maar als je veiligheid hoog in het vaandel hebt dan moet je iets.
Er zijn heel veel werkplekken die geen Internet verbinding hebben (of niet stabiel).
Gaat dit om website certificaten of certificaten voor het signen van software en drivers?

Werkt het bijwerken van die 'lijst' ook via WSUS (dus niet de patch zelf) of moeten computers/servers rechtstreeks bij de servers van Microsoft kunnen om updates van deze lijst te kunnen downloaden?

[Reactie gewijzigd door PeterPan op 13 juni 2012 09:30]

Als je zo groot bent als Microsoft, en je CA op bijna alle systemen als Trusted is opgevoerd, kun je je wel voorstellen dat een Microsoft certificaat wel heel machtig en krachtig is. En dus primair doelwit voor hackers of andere duistere figuren..
Ik krijg een melding over onveilige inhoud van Chrome, als ik de link onder verspreid aanklik .
klik op de https melding bovenaan en leer waarom die melding komt.
Dat komt omdat die blauwe plaatjes met grafieken van een http-locatie komen ipv een https-locatie zoals de pagina waar ze in staan. Dat geeft een mix van beveiligde en onbeveiligde content.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True