Flame verbreitet sich auch über gefälschte Windows-Updates

Der Virus Flame kann PCs offenbar auch über gefälschte Windows-Updates infizieren. Nach Angaben von Microsoft und Symantec nutzt der Schädling gefälschte Sicherheitszertifikate für Microsofts Terminal-Server, um die Updatefunktion von Windows zu täuschen. Als Folge könnte ein Windows-PC ein Update erhalten, das angeblich von Microsoft stammt, in Wirklichkeit aber ein Teil von Flame ist.

Windows Update zu täuschen, ist Symantec zufolge keine leichte Aufgabe. Alle Aktualisierungen müssten von Microsoft signiert sein. Flame verwende ein mit Microsofts Root Authority verbundenes Zertifikat, um diese Einschränkung zu umgehen, schreibt das Sicherheitsunternehmen in einem Blogeintrag.

Insgesamt seien drei Anwendungen an der Infizierung eines PCs beteiligt: Snack, Munch und Gadget. Snack überwache NetBIOS-Anfragen im lokalen Netzwerk und leite sie an das Modul Munch weiter. Dieses wiederum agiere als Webserver und Gadget liefere mithilfe von Munch eine Binärdatei, die mit einem angeblich von Microsoft stammenden Zertifikat signiert sei. Sie werde als legitimes Windows-Update auf einen Rechner geladen und ausgeführt. Allerdings handle es sich dabei nicht um den Virus selbst, sondern um ein Programm, das Flame herunterlade und installiere.

Microsoft hat das Risiko für Windows Update bestätigt. Die Anfälligkeit könne missbraucht werden, um Kunden anzugreifen, die bisher nicht das Ziel von Flame seien.

„In allen Fällen kann Windows Update nur mit einem nicht autorisierten Zertifikat in Kombination mit einem Man-in-the-Middle-Angriff getäuscht werden“, erklärte Microsoft. Flame selbst nutze einen Man-in-the-Middle-Angriff, um Daten zu stehlen, Audiokonversationen abzuhören und Bildschirmfotos anzufertigen.

Anfang der Woche hatte Microsoft eine Sicherheitswarnung herausgegeben und darüber informiert, wie Software blockiert werden kann, die mit gefälschten Zertifikaten signiert wurde. Es steht ein Update zur Verfügung, das die gefährlichen Zertifikate sperrt. Außerdem lassen sich mit Terminal Server keine Zertifikate mehr ausstellen, die eine Codesignierung ermöglichen.

Um darüber hinaus seine Kunden besser zu schützen, will Microsoft auch die Windows-Updatefunktion verbessern. Die dafür benötigte Aktualisierung werde man erst herausgeben, wenn der Patch KB2718704 auf den meisten Rechnern installiert sei, um die Verteilung nicht zu stören.

[mit Material von Lance Whitney, News.com]

Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago