You Are Reading

.

Compartelo:
0

Flame firmado con un certificado de Microsoft falso

Jesus Bourne 20 de junio de 2012

Según la investigación reciente de Microsoft, estos certificados digitales no autorizados permitían a los autores de Flame hacer pasar al gusano por componentes legítimos de Windows. La compañía ya liberó un parche de emergencia a través del servicio Windows Update para bloquear los certificados que utiliza Flame.

Mike Reavey, Director General del Centro de Respuesta de Seguridad de Microsoft (MSRC), menciona que el código malicioso fue firmado utilizando una Terminal del Servidor del Servicio de Licencias, la cual se utiliza por clientes corporativos para autorizar servicios de escritorio remoto.

Reavey no provee detalles específicos de cómo los desarrolladores de Flame fueron capaces de firmar su código con tales certificados, pero si menciona que se relaciona con la explotación de una vulnerabilidad en 'un viejo algoritmo de cifrado'.

Esto pudo significar que la Autoridad Certificadora de Microsoft (Microsoft Certificate Authority CA) utilizó el algoritmo MD5, que ahora es considerado como inseguro, para firmar estos certificados. Por medio de colisiones de hash, un atacante puede crear un certificado fraudulento que tenga el mismo hash MD5 como el del Certificado Oficial de Microsoft.

El atacante puede entonces usar un segundo certificado para firmar el código que será aceptado como proveniente del mismo Microsoft debido a la coincidencia del hash. “La Terminal del Servidor del Servicio de Licencias ya no expide certificados que permitan firmar los códigos” añadió Reavey.

En total, tres certificados fueron afectados, estos incluyen dos licencias forzadas "Microsoft Intermediate PCA", certificados expedidos por la "Entidad emisora raíz de Microsoft" y uno de "Licencia Forzada de Autoridad de Registro Microsoft CA (SHA1)" certificado de la "Entidad Emisora de Certificados Raíz de Microsoft". 

El parche de emergencia emitida por Microsoft para todas las versiones compatibles de Windows traslada estos para el Almacén de certificados que no son de confianza, bloqueando el software firmado por los certificados no autorizados.



Fuente: The H security 

0 comentarios:

.

Compartelo:
 
Copyright 2010 SI3H-C5IRT