微軟撤銷被Flame惡意軟件工具包的作者所利用的欺詐證書，這些證書被用于欺騙受害者相信軟件來源于該軟件巨人。微軟發(fā)布的補丁涉及所有版本的Windows系統(tǒng)。

人們認(rèn)為，F(xiàn)lame惡意軟件工具包幕后的攻擊者牽涉到由某個國家級別資助的電子間諜活動。該惡意軟件通過使用由微軟發(fā)布的欺詐證書，能夠偽造內(nèi)容、進(jìn)行釣魚攻擊和中間人攻擊。

微軟安全響應(yīng)中心的高級主任Mike Reavey表示，這些欺詐證書是在調(diào)查能讓Flame惡意軟件傳播所利用的漏洞時發(fā)現(xiàn)的。Flame惡意軟件感染了伊朗境內(nèi)200臺以內(nèi)的Windows系統(tǒng)，以及其它中東和北非國家更少的一些機器。

“我們的調(diào)查已經(jīng)發(fā)現(xiàn)該惡意軟件利用的一些技術(shù)也可能被不太老練的攻擊者用來啟動更為廣泛的攻擊，”Reavey在一篇關(guān)于微軟的Flame惡意軟件公告的博客中寫到。“通過分析我們發(fā)現(xiàn)，該惡意軟件的一些組件已經(jīng)被證書簽名，讓該軟件看起來似乎是由微軟開發(fā)的。”

微軟：某個第三方CA發(fā)布帶有弱密碼的證書

通過周日發(fā)布的CA公告，微軟解決了這些欺詐數(shù)字證書的問題。根據(jù)該公告內(nèi)容，這些欺詐證書被用于主動式的攻擊中。微軟的工程師也判定“某個第三方CA肯定發(fā)布了帶有弱密碼的證書”，微軟在它的公告中表示。

微軟更新所有受到影響支持版本的Windows產(chǎn)品。它撤銷了下述證書：兩個Microsoft Enforced Licensing Intermediate PCA 證書以及一個Microsoft Enforced Licensing Registration Authority。這些欺詐證書也讓W(xué)indows移動設(shè)備的用戶處于風(fēng)險中，但是周日發(fā)布的補丁沒有對智能手機的更新文件。

該問題來源于微軟的終端服務(wù)器授權(quán)服務(wù)，它允許顧客們在企業(yè)中授權(quán)遠(yuǎn)程桌面服務(wù)。Reavey表示該服務(wù)使用了一種較為古老的加密算法，提供的證書能對代碼進(jìn)行簽名。

對于周一發(fā)布的更新補丁，Reavis表示攻擊者似乎使用了密碼學(xué)中的碰撞攻擊(collision attack)來攻擊該微弱的加密算法。加密碰撞理論由研究人員在2005年針對MD5算法提出。SHA-1和MD5算法被認(rèn)為容易遭到該技術(shù)攻擊。在大多數(shù)的應(yīng)用中它們被SHA-2哈希算法所替換。

一旦應(yīng)用這些補丁文件后，它們會阻止被非授權(quán)證書簽名的軟件。此外，Reavey表示微軟不會再發(fā)布允許代碼簽名的證書，來作為終端服務(wù)器授權(quán)服務(wù)的一部分。

上個月Flame惡意軟件工具包浮出水面，當(dāng)時卡巴斯基實驗室向公眾公布對該威脅的分析。這家位于俄羅斯的防病毒廠商表示Flame“可能是被發(fā)布的最為尖端的電子武器”。其它安全專家不同意該說法，表示這個有20M大小的惡意軟件，只不過是其它木馬軟件通常使用的一些攻擊工具的集合。