Červ Flame sa do nezraniteľných PC dostáva cez Windows Update

DSL.sk, 6.6.2012

Komplexný sofistikovaný škodlivý kód Flame objavený v máji počítačoch najmä v Iráne a ďalších krajinách Stredného Východu dokáže infikovať aj plne aktualizované počítače s Windows bez priamej bezpečnostnej zraniteľnosti a to cez Windows Update.

Ako prvá o tom informovala v pondelok bezpečnostná spoločnosť F-Secure.

Flame majúci pod kontrolou infikované PC takýmto spôsobom dokáže infikovať ďalšie nezraniteľné PC s Windows na rovnakej LAN sieti.

Škodlivý kód využíva protokol Web Proxy Auto-Discovery Protocol, WPAD, ktorým Internet Explorer a Windows automaticky zisťujú konfiguráciu proxy serverov. Flame podľa popisu Symantecu na infikovanom počítači čaká na dotazy iných počítačov cez NetBIOS na preloženie domén, na ktorých hľadá Windows autokonfiguračné dáta pre nastavenie proxy serverov. Následne sa Flame tvári ako WPAD server a falošnými autokonfiguračnými dátami nastaví seba ako webový proxy server pre ostatné neinfikované PC.

Flame potom monitoruje webovú dátovú prevádzku z týchto PC a pri detekovaní požiadaviek neinfikovaných počítačov na službu Windows Update pri kontrole dostupnosti aktualizácií poskytne neinfikovanému počítaču vlastnú podvrhnutú aktualizáciu, ktorá počítač infikuje.

Služba Windows Update sa chráni proti takýmto útokom vyžadovaním kódu podpísaného Microsoftom. Tvorcovia Flame si ale vytvorili podpisovacie certifikáty cez Terminal Server Licensing Service, ktoré boli podpísané dôveryhodnými certifikátmi Microsoftu a umožňovali im podpísať si svoj vlastný kód a vydávať ho za kód Microsoftu.

Hackeri pri tom využili aj bližšie nešpecifikovanú chybu v staršom kryptografickom algoritme, podstata bezpečnostného problému ale spočívala vo vydávaní certifikátov cez službu Terminal Server Licensing Service, ktoré umožňovali aj podpisovať svoj vlastný kód. Microsoft v reakcii na tieto zistenia opravil službu Terminal Server Licensing Service a zároveň aktualizáciou 2718704 zneplatnil svoje certifikáty, ktorými boli podpísané certifikáty využívané červom Flame.




Najnovšie články:



Diskusia:

..... Od: _doom | Pridané: 6.6.2012 8:49 A pre toto používam na svojom súkromnom kompe centos :D Odpovedať Známka: -1.8 Hodnotiť:

Re: ..... Od: pachotras | Pridané: 6.6.2012 10:13 a preto ja pouzivam netbsd :) Odpovedať Známka: 2.4 Hodnotiť:

Re: ..... Od reg.: Tomáš | Pridané: 6.6.2012 17:54 A ja BSOD! Odpovedať Známka: 7.5 Hodnotiť:

Re: ..... Od: el nino | Pridané: 6.6.2012 19:39 hmm...raz za uhorský rok aj ja Odpovedať Známka: 2.5 Hodnotiť:

Re: ..... Od: MAJAK - neregistrovany | Pridané: 11.6.2012 12:30 toto sa moze stat len na microsofte :D :D Odpovedať Hodnotiť:

Re: ..... Od reg.: Gyrxiur | Pridané: 7.6.2012 8:03 O bsod mi ani nehovor, minule som sa s jednou trápil 13 hodín, lebo mi po zobudení zo spánku vždy vyhodilo túto krásku, nakoniec to bol blbý ovládač na sata od amd, dal som starší a ide to. Odpovedať Známka: 1.1 Hodnotiť:

Re: ..... Od: linomaniac | Pridané: 6.6.2012 10:26 a ako sa nam to tu krasne precistilo. Ja pouzivam stale windows, mna na tom bavi ten adrenalin :-)))))))))) Odpovedať Známka: 8.6 Hodnotiť:

Re: ..... Od: Hrivis | Pridané: 6.6.2012 13:35 Lol :D aspon ze mas zmysel pre humor :) Odpovedať Známka: 5.8 Hodnotiť:

Re: ..... Od reg.: Klix. | Pridané: 6.6.2012 10:27 centos na desktope? no neviem teda. mna by s*al ten update cyklus balikov. mat vsetky verzie na desktope sice stable, ale kludne rok a viac stare... Odpovedať Známka: -1.2 Hodnotiť:

Re: ..... Od: quix_ | Pridané: 6.6.2012 14:09 uplne v pohode sa to da pouzivat ale samozrejme len na pracu. Odpovedať Známka: 5.0 Hodnotiť:

A ostatne browsery? Od: oraJaroOff | Pridané: 6.6.2012 8:52 Ak som dobre pochopil, tak cela zranitelnost sa spolieha na pouzivanie IE. Ostatne prehliadace zistuju proxy servere inymi metodami ci ako? Odpovedať Známka: -5.3 Hodnotiť:

Re: A ostatne browsery? Od: aaaaaaaaaaaaaaaaaa | Pridané: 6.6.2012 9:03 1. Windows Update funguje nezavisle na prehliadaci. Aj keby nefungoval nezavisle, tak ho musi ovplyvnovat WPAD, aby mohla fungovat autokonfiguracia vo firmach 2. Ostatne prehliadace podporuju aj WPAD (aspon Chrome a Firefox) Odpovedať Známka: 5.5 Hodnotiť:

Re: A ostatne browsery? Od: pol128 | Pridané: 6.6.2012 9:14 windows update pouziva explorer, takze sa tomu nijako nevyhnes. Odpovedať Známka: -4.3 Hodnotiť:

Re: A ostatne browsery? Od: Ramtech | Pridané: 6.6.2012 13:07 Od Visty už toto neplatí Odpovedať Známka: 6.9 Hodnotiť:

Re: A ostatne browsery? Od: _xxx | Pridané: 6.6.2012 15:15 ale infikujes sa tak ci tak. Odpovedať Známka: 6.0 Hodnotiť:

nechcel by som Od: ojojoj11 | Pridané: 6.6.2012 8:56 Na mojom XP standartne nie je instalovany windows update...hehehe Odpovedať Známka: -5.9 Hodnotiť:

Re: nechcel by som Od: aaaaaaaaaaaaaaaaaaaa | Pridané: 6.6.2012 9:05 Dufam, ze nemas ani "prezitky" ako firewall a zaroven mas verejnu IP. V tom pripade dakujem za kopu spamu a pravidelne DDoS utoky z tvojho PC. Odpovedať Známka: 8.0 Hodnotiť:

Re: nechcel by som Od: sadfsadf54 | Pridané: 6.6.2012 10:21 A mozno nema ani windows ;-) A ty nam tu DDoSujes diskusiu :-) Odpovedať Známka: -4.3 Hodnotiť:

Re: nechcel by som Od: quix_ | Pridané: 6.6.2012 14:11 "na mojom XP" .. ale nema windows? aha Odpovedať Známka: 7.1 Hodnotiť:

Re: nechcel by som Od: jajajajajaja | Pridané: 6.6.2012 16:43 a to XP v jeho prispevku je co? smajlik? Odpovedať Známka: 7.3 Hodnotiť:

Re: nechcel by som Od reg.: jupiii | Pridané: 7.6.2012 0:30 Este si v zivote nemal prekrizene oci a vyplazeny jazyk do strany? Jednoznacne smajlik :-D Odpovedať Známka: 5.0 Hodnotiť:

gratulácia Od: Hrivis | Pridané: 6.6.2012 9:06 "Streda, 6. júna 2012, dnes má meniny Norbert, zajtra Róbert" všetko najlepšie Pán Premiér už takto v predstihu! veľa šťastia, zdravia a božieho požehnania! Odpovedať Známka: -4.8 Hodnotiť:

Re: gratulácia Od: Robert Fico | Pridané: 6.6.2012 9:20 A co ti dr.be tak zrana? Odpovedať Známka: 7.4 Hodnotiť:

Re: gratulácia Od: Robert Kalinak | Pridané: 6.6.2012 9:27 a na mna zabudol :( Odpovedať Známka: 8.3 Hodnotiť:

Re: gratulácia Od: cigan | Pridané: 6.6.2012 9:43 posielam kvety Odpovedať Známka: 7.3 Hodnotiť:

Re: gratulácia Od: kotleba | Pridané: 6.6.2012 11:21 posielam autobus s turistami Odpovedať Známka: 7.5 Hodnotiť:

Re: gratulácia Od: 53-ka | Pridané: 6.6.2012 11:49 Posielam autobus plný OTOv. Občanov Trevale Opálených... :-) Odpovedať Známka: 6.2 Hodnotiť:

Re: gratulácia Od: el nino | Pridané: 6.6.2012 19:40 a ja ho posielam do prdele aj s jeho kvetmi! Odpovedať Známka: 5.6 Hodnotiť:

Streda, 6. júna 2012, dnes má meniny Norbert, zajtra Róbert Pošli kvety Od: PeePay | Pridané: 6.6.2012 9:22 wow... Odpovedať Známka: 6.5 Hodnotiť:

Haluska Od: Kent | Pridané: 6.6.2012 10:01 to co je za halusku ten Flame, ze tak komplikovane a okato na to ide a tolko podmienok musi byt splnenych.... Odpovedať Známka: -2.5 Hodnotiť:

Starsi kryptograficky algoritmus? Od: qqqqqqqqqqqqqqq | Pridané: 6.6.2012 10:24 Ktory je to ten "starsi kryptograficky algoritmus"? Odpovedať Známka: 5.4 Hodnotiť:

Re: Starsi kryptograficky algoritmus? Od: pjótr | Pridané: 6.6.2012 10:30 Assembler ;) Odpovedať Známka: -4.2 Hodnotiť:

if you say jehova once more! Od: jahôdka | Pridané: 6.6.2012 12:22 podla mna vobec nie je tazke cez usa microsoft update vlozit usa cia cerva :-) Odpovedať Známka: 2.0 Hodnotiť:

vojny tajných služieb Od: meno nepoviem | Pridané: 6.6.2012 13:01 Takto to vyzerá, keď chcú tajné služby USA napádať svojich ´triednych nepriateľov´. Aj tak tu ide len o prírodné zdroje (napr. ropa) a o ničenie nepriateľov sionizmu. Ako pekne vidno, kto ovláda celé USA a rád by ovládal komplet celý svet. Pár štátov im ešte nepodľahlo, no už nie veľa. Nedávno kľakla Líbia a Irán je už na prvom mieste zoznamu. Odpovedať Známka: 5.0 Hodnotiť:

Re: vojny tajných služieb Od: meno nepoviem | Pridané: 6.6.2012 13:04 PS: Odporúčm pozrieť tento dokument. Okrem prírodných krás púšte v ňom vidno, ako sa mali Lýbijci ´zle´ pred umelo vyvolaným prevratom: http://www.expedicelibya.com/ Odpovedať Známka: 4.5 Hodnotiť:

Re: vojny tajných služieb Od: meno nepoviem | Pridané: 6.6.2012 13:05 Líbijci a nie Lýbijci ;) Odpovedať Známka: 0.0 Hodnotiť:

Re: vojny tajných služieb Od: laktibrada | Pridané: 6.6.2012 22:19 ked tak Libyjci, ty detailista :) Odpovedať Známka: 2.5 Hodnotiť:

Bezpečnosť Od: Ramtech | Pridané: 6.6.2012 13:09 Sceurity trough obscurity is not security Odpovedať Známka: 3.3 Hodnotiť:

Prispievajte do diskusií ako prihlásený užívateľ. Od: haluska | Pridané: 6.6.2012 13:10 Redakcia .. opravte si ten nadpis .. akonahle je tam moznost ze PC su zranitelne, co priamo dokazuje ten cerv, tak tym padom nemozu byt nezranitelne. Spravny nadpis by mohol zniet takto: Cerv Flame sa do zdanlivo nezranitelnych PC dostava cz Windows Update Odpovedať Známka: 6.0 Hodnotiť:

Re: Prispievajte do diskusií ako prihlásený užívateľ. Od: quix_ | Pridané: 6.6.2012 14:27 "aktualizovane" nie zdanlivo nezranitelne Odpovedať Známka: 6.4 Hodnotiť:

Vyborne USA! Od: dll.exe | Pridané: 6.6.2012 13:47 Vyborne, len tak dalej. Podporujeme USA a Izrael! Odpovedať Známka: 3.3 Hodnotiť:

Re: Vyborne USA! Od: pica | Pridané: 6.6.2012 13:59 samsung v skutocnosti vlastni Bindenberg s Rochildom Odpovedať Známka: 1.4 Hodnotiť:

vírusy a tie ostatné hávede Od: ezio | Pridané: 6.6.2012 15:17 20 rokov robím v oblast iT a za celých 20 rokov som mal s vírusom problém len jeden, jediný krát, kedy som bol donútený naformátovať svoj vlastý disk. Odpovedať Známka: -0.7 Hodnotiť:

Re: vírusy a tie ostatné hávede Od: jajajajajaja | Pridané: 6.6.2012 16:48 fiha... a zeby si ho viac popisal? takto nema tvoj prispevok velku vypovednu hodnotu Odpovedať Známka: 5.6 Hodnotiť:

Re: vírusy a tie ostatné hávede Od: Nhsryivffyjv | Pridané: 6.6.2012 17:46 Nenormalny styl s tebou kraca. Vsetci sme cakali kedy konecne prispejes svojim erudovanym odbornym nazorom do diskusie. Dakujem za vsetkych citatelov dsl.sk Odpovedať Známka: 5.0 Hodnotiť:

enable-disable Od: stary chren | Pridané: 6.6.2012 15:40 win update je celkom nebezpecna vec ale nie koli tomu flamu samozrejme...ale to je vec nazoru,ved nie nadarminko je tam moznost volby,ci update enable-ovat or disable-ovat :) Odpovedať Známka: 0.0 Hodnotiť:

Re: enable-disable Od reg.: foobar0 | Pridané: 6.6.2012 17:45 Clovek sa vystavuje vacsiemu nebezpecenstvu, ked updaty OS vypne, nie? ;) Odpovedať Známka: 5.6 Hodnotiť:

Re: enable-disable Od: el nino | Pridané: 6.6.2012 19:42 ako vidno niekedy aj nie Odpovedať Známka: 4.5 Hodnotiť:

Re: enable-disable Od: kolomanj | Pridané: 7.6.2012 11:47 ja mam update win vypnute uz petnasty rok a nic :) ,ale sem tam obnovim os cez acronis pre pokoj duse a pre obnovenie rychlosti os Odpovedať Známka: -5.0 Hodnotiť:

Neztraniteľný bez aktualizácie? Od: siny | Pridané: 7.6.2012 10:28 Nadpis trochu zavádza, nie? Až ak mám okrem iného aj aktualizáciu 2718704, môžem považovať PC za "nezraniteľný" a do takého sa Flame nenainštaluje.. Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár