Компоненты трояна Flame были подписаны сертификатами Microsoft

4/06/2012 13:32

В ходе анализа файлов трояна Flame, специалистами компании Microsoft были обнаружены компоненты, подписанные действующими сертификатами Microsoft. Всего было скомпрометировано 3 сертификата, выданных корневым центром сертификации Microsoft. Анализ показал, что источником утечки сертификатов стала служба терминалов (Terminal Services), которая содержала сертификат ни только для защиты удаленного соединения, но и для подписи программного кода. Причину этого недоразумения, специалисты компании Microsoft, обуславливают использованием устаревшего механизма сертификации. Примечательно, что один из двух скомпрометированных сертификатов Microsoft Enforced Licensing Intermediate PCA имел срок действия до февраля 2010 года, а второй сертификат пришел ему на смену и имел срок действия до 2016 года. Третий сертификат Microsoft Enforced Licensing Registration Authority CA (SHA1) был выдан в 2010 году и действителен до 2017 года, при этом имел разрешение на использование по всем назначениям. Использование старого сертификата в коде трояна Flame подтверждает то, что он более 2 лет использовался злоумышленниками для слежения за активностью пользователей Ирана, Палестины, Венгрии, Ливана, Австрии, России, Гонконга и ОАЭ. Скомпрометированные сертификаты помещены в список "недоверенных", а обновление хранилища сертификатов уже доступно через систему Автоматического обновления.
Источник