Microsoft verspreidt tool om misbruik valse certificaten te stoppen

Microsoft heeft een tool vrijgegeven, waarmee Windows dagelijks checkt of certificaten zijn vervalst. De tool moet voorkomen dat malware als Flame, dat zichzelf kon signen met vervalste certificaten, als legitieme software wordt gezien.

De tool wordt verspreid in de maandelijkse ronde patches van Microsoft. Tot aan deze update worden gegevens over mogelijk vervalste certificaten alleen verspreid via Windows Update, maar deze tool downloadt elke dag de Disallowed Certificate Trust List op servers van Microsoft. De tool werkt alleen op Windows 7, Vista, Server 2008 en Server 2008 R2.

Door de lijst automatisch te updaten moeten certificaten sneller worden ingetrokken als blijkt dat deze vervalst kunnen zijn. Ook certificaten met zwakke encryptie, zoals met rsa-sleutels met minder dan 1024 bits, worden automatisch geblokkeerd. De maatregel volgt kort op het bekend worden van de malware Flame, een Trojaans paard dat deze week gelinkt werd aan Stuxnet en dat misbruik maakt van verouderde certificaten van Microsoft zelf. Microsoft zet de tool online vlak na een vorige update, om te voorkomen dat malware zich nog eens kan voordoen als legitieme Windows-software.

De tool zou ook van pas zijn gekomen in de Diginotar-affaire, toen bleek dat certificaten van het Noord-Hollandse bedrijf na een hack niet meer konden worden vertrouwd. Ook toen moesten gebruikers een update doorvoeren om ervoor te zorgen dat hun Windows-installatie de certificaten niet langer vertrouwde. Flame zou het vooral hebben voorzien op computers in het Midden-Oosten.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 13-06-2012 07:38 54

13-06-2012 • 07:38

54

Lees meer

Microsoft rolt per ongeluk Windows 7-testpatch uit
Microsoft rolt per ongeluk Windows 7-testpatch uit Nieuws van 1 oktober 2015
Microsoft waarschuwt voor toename diefstal van certificaten
Microsoft waarschuwt voor toename diefstal van certificaten Nieuws van 16 december 2013
'Facebook gebruikt onveilige en verouderde 1024bit-rsa-encryptie'
'Facebook gebruikt onveilige en verouderde 1024bit-rsa-encryptie' Nieuws van 30 juni 2013
'Stuxnet en Flame afkomstig van dezelfde ontwikkelaars'
'Stuxnet en Flame afkomstig van dezelfde ontwikkelaars' Nieuws van 26 februari 2013
Malware omzeilt whitelist na diefstal certificaat van beveiligingsbedrijf
Malware omzeilt whitelist na diefstal certificaat van beveiligingsbedrijf Nieuws van 9 februari 2013
'Flame-virus trof ook Nederlandse computers'
'Flame-virus trof ook Nederlandse computers' Nieuws van 17 september 2012
Kaspersky: 'overheidstrojan' richt zich op financiële transacties
Kaspersky: 'overheidstrojan' richt zich op financiële transacties Nieuws van 9 augustus 2012
Veel aangiftes belastingadviseurs hebben nog Diginotar-certificaat
Veel aangiftes belastingadviseurs hebben nog Diginotar-certificaat Nieuws van 23 juli 2012
Onderzoeksraad: ict-beveiliging overheid moet flink beter
Onderzoeksraad: ict-beveiliging overheid moet flink beter Nieuws van 28 juni 2012
'Ook Flame-trojan richtte zich op Irans nucleaire programma'
'Ook Flame-trojan richtte zich op Irans nucleaire programma' Nieuws van 20 juni 2012
Kaspersky ontdekt verband tussen Stuxnet en Flame
Kaspersky ontdekt verband tussen Stuxnet en Flame Nieuws van 11 juni 2012
'Flame-trojan wist sporen van zichzelf uit na commando'
'Flame-trojan wist sporen van zichzelf uit na commando' Nieuws van 11 juni 2012
CWI: Flame-malware gebruikte nog onbekende md5-aanval
CWI: Flame-malware gebruikte nog onbekende md5-aanval Nieuws van 8 juni 2012
FBI onderzoekt uitlekken van cyberaanvalsprogramma
FBI onderzoekt uitlekken van cyberaanvalsprogramma Nieuws van 5 juni 2012
Flame-trojan misbruikte Microsoft-certificaten
Flame-trojan misbruikte Microsoft-certificaten Nieuws van 4 juni 2012
Nieuwe geavanceerde trojan verschijnt in het Midden-Oosten
Nieuwe geavanceerde trojan verschijnt in het Midden-Oosten Nieuws van 29 mei 2012
Meer producten en artikelen
Besturingssystemen Privacy Microsoft Windows Beveiliging Malware

Reacties (54)

-Moderatie-faq
54
47
31
2
0
1
Wijzig sortering

Sorteer op:

Weergave:
wica 13 juni 2012 07:57
Is deze oplossing geen symptoombestrijding?
Aan gezien je blijkbaar kan faken dat je DE windows update server bent?
KilZone @wica13 juni 2012 09:31
Hoewel je gelijk hebt dat dit symptoombestrijding is, is het wel op korte termijn de beste oplossing. Het gehele systeem is gebaseerd op vertrouwen en dus kan je dit alleen maar voorkomen met een geheel ander systeem.

Let wel, de certificaten van Windows Update zijn nooit gekraakt, maar 'n certificaat van Microsoft wel. Hierbij konden de makers van Flame doen alsof het product een geldige update was en bovenal een geldige executable. Om de update in je systeem te krijgen wordt er gebruikgemaakt van een vrij complexe 'man-in-the-middle' aanval, waarbij de update enkel geïnjecteerd wordt tussen de 'echte' updates. Je bent dus echt verbonden met de Microsoft server, alleen verloopt de stroom van data via een derde partij. Dit lukt omdat deze derde partij (een geïnfecteerde computer op jouw netwerk) zich voordoet als een proxy.
wica @KilZone13 juni 2012 10:26
De werking van dit is mij bekent.
En dat het complexe MITM aanval vereisen, maakt niet uit. Het is erg intressant om tussen de client en de WUS te zitten.

Ik vind het eng, dat men dus blijkbaar een MITM aanval kan doen op zoiets belangrijks als windows update. Hoe kan de "gebruiker" nu weten of die alleen met de echte WUS spreekt of niet.

Nu blijkt dat dit dus mogelijk is, zullen meerdere mensen technieken gaan ontwikkelen om dit ook te kunnen doen.
Verwijderd @wica13 juni 2012 08:22
Aan gezien je blijkbaar kan faken dat je DE windows update server bent?
Zo eenvoudig is dat niet.
Een dergelijke aanval zou naast gekraakte certificaten ook een complexe MITM aanval vereisen

[Reactie gewijzigd door Verwijderd op 22 juli 2024 14:26]

morphje 13 juni 2012 08:07
Ik zie zo de impact niet, maar je hebt 2 lijsten. Disallowed en allowed. Ik durf te wedden dat heel veel bedrijven in de problemen komen met hun eigen self-signed root certificates. Je staat immers niet op de lijst.
Verwijderd @morphje13 juni 2012 08:35
Volgens het knowledge base artikel is er reeds een lijst van untrusted certificates afkomstig van trusted authorities (de standaard CRL) en wordt dat nu uitgebreid met een lijst van untrusted certificates van untrusted authorities.

Een self-signed root certificate komt dus alleen in de problemen als Microsoft het expliciet op de lijst zet, wat zelden het geval zal zijn. Bedrijven met self-signed roots certificates hebben dus niks om zich zorgen over te maken.
Verwijderd 13 juni 2012 07:46
Ik denk dat Microsoft deze tool al aan het ontwikkelen was sinds die Diginotar affaire.
Het lijkt me sterk dat ze die nu even vanwege flame in elkaar geflanst hebben
Rollo @Verwijderd13 juni 2012 08:52
De Diginotar affaire was de fout van Diginotar zelf, terwijl Flame zichzelf verspreide via Windows Update, en het daardoor Microsoft zijn verantwoording is dit op te lossen/te voorkomen in de toekomst.. Denk toch dat Microsoft dit daarom niet zomaar even in elkaar geflanst heeft, en er echt wel prioriteit aangegeven is.
Verwijderd @Rollo13 juni 2012 09:40
terwijl Flame zichzelf verspreide via Windows Update
Nee, flame verspreide zich niet via windows update. Flame gebruikt een MITM aanval om gecertificeerde update executables te verspreiden alsof die vanuit Windows update zouden komen. Dat is geen simpele methode om malware updates te verspreiden.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 14:26]

Cloud @Verwijderd13 juni 2012 10:12
Als ik goed lees wat het programma doet, dan zie ik geen reden dat ze er al sinds Diginotar aan gewerkt zouden moeten hebben. Zoveel stelt het niet voor toch? :)

Het zorgt er gewoon voor dat de lijst met ingetrokken certificaten dagelijks gedownload wordt in plaats van te wachten op Windows Update. Niet echt bijzonder maar wel een eenvoudige manier om damage control te doen. De kans dat een machine een dag niet online komt is een stuk groter dan dat een machine een maand niet online komt.
Triblade_8472 13 juni 2012 08:17
Wat ik niet snap is waarom deze 'tool' een tool is en niet standaard onderdeel in Windows. (en dan wellicht configureerbaar in tijd van een uur tot max. een week?)

Wat mij niks zou verbazen is dat deze tool o.a. door de Diginotar affaire ontwikkeld is en nu versneld is afgemaakt en uitgebracht door Flame.
Verwijderd @Triblade_847213 juni 2012 08:24
Wat ik niet snap is waarom deze 'tool' een tool is en niet standaard onderdeel in Windows
Dat was in feite al een standaard onderdeel van Windows. Windows Update verzorgde die functionaliteit.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 14:26]

Relief2009 @Triblade_847213 juni 2012 10:11
Omdat tijden veranderen, nieuwe manieren worden bedacht om zwakheden op te sporen. MS is geen toekomstvoorspeller.
SED 13 juni 2012 07:43
zolang de tool zelf niet een bron van ellende wordt een aardige tussenoplossing.
Ik neem aan dat er goede checks in deze tool zitten om een exploit erg lastig te maken, maar dat is dan wel een kwetsbaar onderdeel.
roy-t @SED13 juni 2012 08:25
Er zit geen enkele check in deze tool, hij download gewoon elke dag een blacklist ipv dat die blacklist elke maand meegestuurd wordt via Windows Update, that's it. Niet fancy maar mogelijk wel effectief
Stefanovic45 13 juni 2012 08:11
Al mensen die deze update in hun organisatie hebben getest? Volgens mij kun je inderdaad problemen krijgen met self-signed certificates. Ik ben nog een beetje huiverig om deze direct uit te rollen. Voor door deze regel:
Ook certificaten met zwakke encryptie, zoals met rsa-sleutels met minder dan 1024 bits, worden automatisch geblokkeerd

[Reactie gewijzigd door Stefanovic45 op 22 juli 2024 14:26]

Gert @Stefanovic4513 juni 2012 08:52
Ik ga deze update sowieso blokkeren als dat kan, ik vind de maandelijkse update via wsus prima.
Met diginotar hebben we ook een tijd doorgedraaid met foute certificaten. Je kan moeilijk tegen honderden gebruikers zeggen ja, sorry, je kunt je werk niet meer doen want we hebben een update geïnstalleerd, ze werken aan nieuwe ceritificaten maar die komen pas over drie maanden.
Wceend 13 juni 2012 08:47
zou het niet veel eenvoudiger zijn als windows standaard ieder certificaat wat wordt aangeboden controleerd middels een online responder oid. Het kost je aardig wat bandbreedte maar als je veiligheid hoog in het vaandel hebt dan moet je iets.
Gert @Wceend13 juni 2012 08:54
Er zijn heel veel werkplekken die geen Internet verbinding hebben (of niet stabiel).
PeterPan 13 juni 2012 09:17
Gaat dit om website certificaten of certificaten voor het signen van software en drivers?

Werkt het bijwerken van die 'lijst' ook via WSUS (dus niet de patch zelf) of moeten computers/servers rechtstreeks bij de servers van Microsoft kunnen om updates van deze lijst te kunnen downloaden?

[Reactie gewijzigd door PeterPan op 22 juli 2024 14:26]

Verwijderd 13 juni 2012 10:42
Als je zo groot bent als Microsoft, en je CA op bijna alle systemen als Trusted is opgevoerd, kun je je wel voorstellen dat een Microsoft certificaat wel heel machtig en krachtig is. En dus primair doelwit voor hackers of andere duistere figuren..
janbal 13 juni 2012 08:54
Ik krijg een melding over onveilige inhoud van Chrome, als ik de link onder verspreid aanklik .
SED @janbal13 juni 2012 09:44
klik op de https melding bovenaan en leer waarom die melding komt.
Kalief @janbal13 juni 2012 13:35
Dat komt omdat die blauwe plaatjes met grafieken van een http-locatie komen ipv een https-locatie zoals de pagina waar ze in staan. Dat geeft een mix van beveiligde en onbeveiligde content.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq