安全研究人员发布了新的详细信息,显示Flame恶意软件滥用了Microsoft的Windows Update机制,通过中间人攻击来感染其他计算机。全球研究与分析负责人亚历山大·戈斯特夫(Alexander Gostev)写道: “当计算机尝试连接到Microsoft的Windows Update时,它将通过受感染的计算机重定向连接,并将虚假的Windows Update发送给客户端。” 卡巴斯基实验室的团队。
他解释说:“当受害者通过Windows Update更新[计算机]时,将拦截查询并推送伪造的更新。” “虚假更新将继续下载主体并感染计算机。”
据赛门铁克安全响应小组称,名为“ Snack”的Flame模块在本地网络上嗅探NetBIOS请求。NetBIOS名称解析使计算机可以通过对等通信在本地网络上相互找到对方,从而为欺骗提供了途径。
当客户端尝试解析网络上的计算机名称,特别是发出WPAD(Web代理自动发现协议)请求时,Flame(Flame)将声称它是WPAD服务器,并提供恶意WPAD配置文件(wpad.dat) ”,赛门铁克指出。“ NetBIOS WPAD劫持是一项众所周知的技术,许多公开可用的黑客工具已实施了该技术。”
该公司指出:“一旦尚未受到威胁的计算机收到流氓wpad.dat文件,它将把其代理服务器设置为受Flamer攻击的计算机。” “其所有Web流量现在都将首先被重定向到Flamer受损的计算机。”
据赛门铁克称,Flame的Munch组件充当Flame中的Web服务器,并接收重定向的流量。它还会检查各种查询,包括Windows Update的匹配URL。
赛门铁克的团队补充说:“劫持Windows Update并非易事,因为更新必须由Microsoft签名。” “但是,Flamer(Flame)通过使用链接到Microsoft Root Authority的证书绕过了此限制,并且不正确地允许代码签名。因此,当收到Windows Update请求时,GADGET模块通过MUNCH会提供一个由证书签名的二进制文件,属于微软。”
这些发现促使微软说,它计划在将来加强Windows Update的防御能力,尽管该公司没有立即透露具体细节。在星期天,Microsoft发布了一个更新,以撤消它对“ Microsoft强制许可中级PCA”的信任。和????微软强制许可注册机构CA ???? 发现Flame的组件已使用未经授权的证书签名后,签名证书。
微软安全响应中心高级主管迈克·雷维(Mike Reavey)写道: “ Flame恶意软件使用加密冲突攻击结合终端服务器许可服务证书来对代码进行签名,就好像它来自微软一样。” “但是,也可以在不执行冲突的情况下进行代码签名。这是一种折衷的方法,其他攻击者可能会将其用于最初不是Flame恶意软件关注的客户。在所有情况下,Windows Update只能用未经授权的证书以及中间人攻击。”
他补充说:“为增强对客户的保护,我们的缓解策略的下一个行动是进一步加强Windows Update,以作为纵深防御的预防措施。” “我们将在广泛采用安全建议2718704之后开始此更新,以免干扰该更新的全球部署。”