banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thông tin new bugs và exploits Chứng chỉ số của Microsoft cung cấp đang được sử dụng trong sâu Flame  XML
  [News]   Chứng chỉ số của Microsoft cung cấp đang được sử dụng trong sâu Flame 04/06/2012 14:55:45 (+0700) | #1 | 264620
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]
Chứng chỉ số do chính Microsoft cung cấp đang được sử dụng trong Malware “Flame”

Microsoft vừa đưa ra một thông báo khẩn cấp kèm theo bản vá cho người sử dụng Windows về tình trạng “Một vài chứng chỉ số được phát hành bởi Microsoft mà cụ thể là Microsoft Certificate Authority hiện đang được sử dụng để ký vào một số thành phần của malware Flame”.

Bản cập nhật đã thu hồi tổng cộng 3 chứng chỉ số xác thực trung gian là:
Microsoft Enforced Licensing Intermediate PCA (2 chứng chỉ)
Microsoft Enforced Licensing Registration Authority CA (SHA1)

Tuy nhiên thông báo khẩn cấp này không nói rõ là ai có quyền truy cập vào các chứng chỉ trung gian, và điều gì xảy ra nếu nó bị lạm dụng bởi người dùng có đủ quyền, hay nó bị thỏa hiệp và sử dụng bởi người dùng trái phép. Dù sao đi nữa hãy nhanh chóng cập nhật các bản vá.

Thông báo cũng không đề cập đến tình trạng nếu các chứng chỉ số trung gian hoặc các dẫn xuất từ nó bị thỏa hiệp, khiến các chứng chỉ số này có thể được dùng để tạo ra các bản vá giả mạo (từ Microsoft). Các chứng chỉ này của Microsoft vốn được sử dụng để xác thực các bản vá, do đó nếu có một sự thỏa hiệp xảy ra sẽ khiến chuỗi chứng thực bị phá vỡ.
Điều đáng mừng là, việc Flame sử dụng chứng chỉ này của Microsoft để ký vào một số thành phần của nó, chắc chắn sẽ giúp tăng khả năng truy tìm nguồn gốc thực sự của “Flame”.

theo isc.sans.edu

Ky0 - HVA News

Tham khảo:
[0] http://isc.sans.edu/diary.html?storyid=13366
[1] http://technet.microsoft.com/en-us/security/advisory/2718704
[2] http://blogs.technet.com/b/msrc/archive/2012/06/03/microsoft-releases-security-advisory-2718704.aspx


UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [News]   Chứng chỉ số của Microsoft cung cấp đang được sử dụng trong Flame 04/06/2012 17:59:45 (+0700) | #2 | 264632
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Hèn gì sáng nay cái mày cùi ngoài kho này nó bắt cập nhật (update) cái crypt32.dll. Tính compare thử xem nó update cái gì, nhưng lu bu quá rồi thôi.
Giang hồ hiểm ác, đúng như phim kiếm hiệp hồi xưa em xem nói !
[Up] [Print Copy]
  [News]   Chứng chỉ số của Microsoft cung cấp đang được sử dụng trong Flame 04/06/2012 18:38:57 (+0700) | #3 | 264634
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]
Theo khoanh vùng của Microsoft thì malware Flame có sự góp tay của một/vài trong các khách hàng doanh nghiệp đã có yêu cầu kích hoạt license Terminal Services.

Microsoft certification authority signing certificates added to the Untrusted Certificate Store - Security Research & Defense - Site Home - TechNet Blogs
http://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [News]   Chứng chỉ số của Microsoft cung cấp đang được sử dụng trong Flame 04/06/2012 18:47:59 (+0700) | #4 | 264635
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Cao thủ thiệt, đào sâu tới hang cùng ngõ hẻm.
[Up] [Print Copy]
  [News]   Chứng chỉ số của Microsoft cung cấp đang được sử dụng trong Flame 05/06/2012 00:02:12 (+0700) | #5 | 264647
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

bolzano_1989 wrote:
Theo khoanh vùng của Microsoft thì malware Flame có sự góp tay của một/vài trong các khách hàng doanh nghiệp đã có yêu cầu kích hoạt license Terminal Services.

Microsoft certification authority signing certificates added to the Untrusted Certificate Store - Security Research & Defense - Site Home - TechNet Blogs
http://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx
 


Giúp anh dịch bài này được không em, bài này giúp giải thích sâu hơn cho cái thông báo khẩn phía trên kia của MS nên có giá trị lắm
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [News]   Chứng chỉ số của Microsoft cung cấp đang được sử dụng trong sâu Flame 05/06/2012 11:13:54 (+0700) | #6 | 264678
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
http://blogs.mcafee.com/mcafee-labs/spreading-the-flame-skywiper-employs-windows-update
Cũng trên blog của McAfee.
[Up] [Print Copy]
  [News]   Chứng chỉ số của Microsoft cung cấp đang được sử dụng trong sâu Flame 05/06/2012 12:44:21 (+0700) | #7 | 264687
kotentruynhap
Member

[Minus]    0    [Plus]
Joined: 25/02/2012 21:51:03
Messages: 13
Offline
[Profile] [PM]
Thế này mà diệt thủ công thì mệt đây.
[Up] [Print Copy]
  [News]   Chứng chỉ số của Microsoft cung cấp đang được sử dụng trong sâu Flame 05/06/2012 13:59:12 (+0700) | #8 | 264696
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Cách mà malware Flame infect các máy khác trong mạng là cực kỳ tinh vi và thông minh:

Flame trên máy bị nhiễm sẽ tạo một máy chủ Windows Update giả trong mạng có tên là “MSHOME-F3BE293C”, nó sẽ chặn tất cả các yêu cầu cập nhật từ các máy khác trong mạng rồi "push" ( đẩy ) xuống các máy này các bản cập nhật giả mạo chứa malware Flame bên trong. Việc đẩy các bản cập nhật giả mạo này chỉ thành công khi có các chứng chỉ số từ Microsoft để ký lên các gói giả mạo, và điều đáng ngạc nhiên là các chứng chỉ số này Flame cũng có ( bài viết trên của Ky0 đã nói rõ )

Gói update giả mạo của Flame có description là:

<“update description="Allows you to display gadgets on your desktop."
displayName="Desktop Gadget Platform" name="WindowsGadgetPlatform"> 


HVA News sẽ cố gắng dịch bài này trong thời gian sớm nhất có thể để cập nhật tin tức về con siêu malware này cho mọi người.

Tham khảo:
[1] http://www.securelist.com/en/blog/208193558/Gadget_in_the_middle_Flame_malware_spreading_vector_identified
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [News]   Chứng chỉ số của Microsoft cung cấp đang được sử dụng trong sâu Flame 05/06/2012 14:46:11 (+0700) | #9 | 264698
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Con sâu này dùng lại độc chiêu giả làm WUS(Windows Update Services). Nếu nó đã giả được chiêu này thì nó phải thêm tính năng giả DNS để máy con tưởng cái máy dính flame là 1 cái WUS thật và nhận bản cập nhật từ nguồn độc(chổ này sài thêm chiêu DNS changer).

Mạng lớn nào đang sài WUS server thì nên coi chừng. Còn mạng nào sài windows chùa, tắt sạch windows update services thì khỏe thật.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [News]   Chứng chỉ số của Microsoft cung cấp đang được sử dụng trong sâu Flame 07/06/2012 11:17:09 (+0700) | #10 | 264800
[Avatar]
TheShinichi
Member

[Minus]    0    [Plus]
Joined: 25/03/2005 01:40:31
Messages: 182
Offline
[Profile] [PM]
Vậy với một hệ thống DC như vầy:

DC Chính ở Hà Nội - DC Miền (Nam, Bắc, Trung) - RODC tại chi nhánh - Workstation

Liệu có bị lây nhiễm không khi tại chi nhánh dùng RODC, mọi policy được thiết lập ở cấp cao hơn ? Dù cho Flame bị nhiễm trong 1 máy trạm nào đó + quyền admin trên máy đó, nó có thể vượt được DC policy để tạo máy update giả và ép các máy update từ nó ?

Xin cảm ơn !
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|