Microsoft в воскресенье выпустила экстренное обновление корневых сертификатов, после того, как выяснилось, что один из ее доверенных цифровых сертификатов был использован для проникновения троянца Flame на целевые компьютеры в Иране и ряде других ближневосточных стран.
Эксперты говорят, что данная компрометация вскрывала уязвимости в Windows Terminal Server, активно используемом многими предприятиями для предоставления удаленного доступа к конечным компьютерам пользователей. Атакуя определенный алгоритм шифрования в системах Microsoft, применяемых для выпуска лицензий на сервис, атакующие смогли создать поддельные промежуточные сертификаты, которые содержали в себе корневой сертификат корпорации. Именно за счет поддельных промежуточных сертификатов атакующие смогли ввести в заблуждение многих ИТ-администраторов и пользователей, чтобы те установили компоненты Flame на своих компьютерах, а система считала, что данный софт поставлен самой корпорацией.
"Мы обнаружили, что некоторые из компонентов вредоносного программного обеспечения были подписаны сертификатами, позволявшими представлять вредоносные коды, как будто бы они были подписаны со стороны Microsoft", - говорит Майк Риви, директор Microsoft Security Response Center.
По его словам, расследование показало, что устаревший криптографический алгоритм может быть использован хакерами, при помощи него можно подписывать код якобы от лица Microsoft. "Наш сервис Terminal Server Licensing Service позволяет клиентам авторизовывать сервисы Remote Desktop на предприятиях, используя устаревший алгоритм, предприятия могут сами создавать сертификаты, так, как бы это делала Microsoft", - говорит он.
В рамках обновления, Microsoft закрыла три промежуточных центра сертификации, привязанных к корневому центру. Согласно данным компании, все версии Windows, где не используется новый патч, могут быть заражены Flame через вышеописанный механизм.
Помимо этого, инженеры Microsoft также приостановили выпуск сертификатов, используемых для подписи лицензирования Terminal Services. Возможность лицензионного механизма подписывать недоверенный код и привязывать его к корневому центру Microsoft является логической ошибкой в работе системы, говорят независимые специалисты.
В самой Microsoft пока не предоставляют более подробных сведений о выпущенном обновлении. В частности, не ясно, какие именно сертификаты и центры были заблокированы и какой алгоритм был уязвим. Однако ранее ряд независимых специалистов указывали на проблемы с реализцией алгоритма SHA-1 в продуктах компании.