Suchen

Reaktion auf Methoden des Flame Malware Toolkit Microsoft härtet Zertifikatsmanagement von Windows

| Redakteur: Stephan Augsten

Microsoft hat mit dem Juni-Patchday 2012 eine Funktion für Windows ausgerollt, um die Echtheit digitaler Zertifikate zu prüfen. Damit reagiert der Software-Hersteller auf die Attacken durch das Flame Malware Toolkit mithilfe gefälschter Microsoft-Zertifikate.

Windows weist künftig digitale Zertifikate mit schwachen Signaturen ab.
Windows weist künftig digitale Zertifikate mit schwachen Signaturen ab.

Software-Anbieter stellen digitale Zertifikate aus, um die Authentizität ihrer Anwendungen zu bestätigen. Im Rahmen der Angriffe mit dem Schadcode Flame alias Flamer wurden derartige Microsoft-Zertifikate gefälscht, um den Update-Mechanismus von Windows-Betriebssystemen zu täuschen.

Zum Patchday im Juni 2012 hat Microsoft jedoch auf die betrügerischen Machenschaften reagiert. Windows 7 sowie Vista erhalten nun einen Mechanismus, der täglich prüft, ob verwendete Zertifikate noch gültig sind. Die neue Update-Funktion greift hierfür auf eine sogenannte Disallowed Certificate Trust List (CTL) zu.

Anhand dieser Informationen werden digitale Zertifikate bei Bedarf automatisch als nicht vertrauenswürdig gekennzeichnet und im Microsoft Untrusted Certificate Store hinterlegt. Bislang mussten Änderungen an diesem Zertifikatsspeicher noch manuell vorgenommen werden. Damit hatten potenzielle Angreifer ein größeres Zeitfenster, um betrügerische Zertifikate zu nutzen.

Härtung von Windows Update

Im August will Microsoft darüber hinaus Änderungen am Verschlüsselungs-Algorithmus eigener Zertifikate vornehmen. Durch das Update werden Zertifikate, die RSA-Schlüssel mit weniger als 1.024 Bit verwenden, wie ungültige Zertifikate behandelt. Dies gilt selbst dann, wenn sie durch eine vertrauenswürdige Zertifizierungsstelle signiert wurden.

Damit reagiert Microsoft ebenfalls auf eine Besonderheit von Flame: Den Malware-Entwicklern war es im Rahmen eines Hash-Kollisionsangriffs gelungen, gefälschte Zertifikate als legitime auszugeben. Hierfür mussten die Angreifer Teile des Schadcodes so anpassen, dass die Prüfsummen-Berechnung für beide Zertifikate zum gleichen Ergebnis führt. Dies gelingt umso besser, je einfacher die kryptographische Hashfunktion ist.

Für Unternehmen, die schwächere Algorithmen wie MD5 nutzen, könnten sich innerhalb ihrer Netzwerke durchaus Probleme ergeben. Darauf sollten sich die Firmen vorab einstellen, denn bis auf die mobile Plattform werden sämtliche unterstützten Windows-Versionen das Update erhalten.

(ID:34169780)