Epic Fail! Eine Installation von Meikrosoft Windohs über das eingebaute Windohs Update mit Schadsoftware »anreichern«. Nur echt mit Zertifikat von Meikrosoft. Solche Updates macht man ja wegen der »Sicherheit«, da soll der Code auch »sicher« aus der richtigen Quelle stammen. Aber keine Sorge, Meikrosoft arbeitet schon daran, die fehlende »Sicherheit« durch weitere Schutzmaßnahmen weiter auszubauen…
Kommentare
Kommentieren
In der Archivversion kann nicht kommentiert werden.
Bio am 6.6.2012 um 10:11
*prust*
fehlende sicherheit…. weiter ausbauen…..
YMMD
Christian am 6.6.2012 um 14:17
Heikles Thema. So heikel, dass Microsoft direkt ein außerplanmäßiges Update dazu herausgegeben hat. Dabei macht Microsoft schon alles was irgendwie geht. Die gültigen Zertifikate für das Windows Update sind hardcoded in den Programmen und werden nicht über den normalen Zertifikatsspeicher abgefragt. Darum kann ein Schadprogramm da auch keine Zertifikate ablegen um das Verfahren zu kompromittieren.
Das Vorgehen, das Symantec da beschrieben hat ist prinzipiell nicht neu und wird seit geraumer Zeit diskutiert. Für diverse andere Produkte gibt es das Tool ISR Evilgrade (im Google Code), das Programmen die ohne Signaturen arbeiten infizierte Updates unterschiebt. Sowas würde bei Windows Update gar nicht funktionieren.
Ein falsches gültiges Microsoft-Zertifikat kann man sich aber auch nicht einfach mal schnell selber basteln. Da ist man dann auf der Ebene der Three Letter Agencies und dort spielt Geld nur noch eine untergeordnete Rolle. Und ganz ehrlich, ich wette bei praktisch jeder Linux Distribution könnte man so was auch hinkriegen.