Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > »Flame« benutzte Windows Zertifikat

Cyber-Kriminalität

»Flame« benutzte Windows Zertifikat

5. Juni 2012, 16:48 Uhr |

Kaspersky Labs hat herausgefunden, wie sich der Spionagevirus Flame verbreitet hat. Die Hacker tarnten den Schadcode so, als sei der Virus von Microsoft zertifiziert.

Schon letzte Woche hat Kaspersky Labs den Spionage-Virus Flame entdeckt, der sich im Nahen und Mittleren Osten verbreitete. Nun schrieb Microsoft in einem Blogeintrag, eine hauseigene Software zur Ausstellung von Zertifikaten, die mit älteren Kryptographie-Algorithmen arbeitete, habe es den Hackern erlaubt, Teile des Virencodes als von Microsoft zertifiziert erscheinen zu lassen.

Die Signaturen gehen auf Zertifikate zurück, die Microsoft an Kunden über den Terminal-Services-Lizenzserver vergeben hatte. Die eigentliche Verbreitung fand dann über ein gefälschtes Windows-Update statt, dass auch auf weitere Rechner im gleichen Netzwerk weitergereicht wurde. Die Schwachstelle ist mittlerweile mit eilig erstellten Patches abgesichert.

Der Kaspersky-Virenexperte Costin Raiu hat die Mechanismen dahinter entdeckt. Ein Modul namens Gadget im Code von Flame war in der Lage, über ein anscheinend von Microsoft stammendes Paket namens WuSetupV.exe per einem man-in-the-middle-Szenario den Virus weiter im Netzwerk zu multiplizieren. Dieses Paket zeigt auch klar die Ausrichtung des Virus, denn das Gadget-Modul wurde nur aktiv, wenn GMT+2 und höher eingestellt ist. Das sind Zeitzonen östlich der unseren.

Kaspersky Labs deckte auch die Infrastruktur hinter Flame auf. Dort waren 15 Server im Einsatz, die jeweils für rund 50 infizierte Netze zuständig waren. Alle Server waren mit gefälschten Identitäten angemietet und unauffällig über Europa und Asien verteilt. Die Server gingen sofort vom Netz, als die ersten Presseberichte zu Flame auftauchten.

Die allermeisten Enduser haben von Flame nichts bemerkt, da dieser auf Spionage im Industrie- und Regierungsbereich ausgelegt ist. Allerdings befürchten Experten, dass trittbrettfahrende Hacker bereits die Techniken von Flame nutzen könnten, um Rechner, die die Patches und Updates von Microsoft missachtet haben, zu infiltrieren.

Lesen Sie mehr zum Thema

Microsoft GmbH
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Microsoft GmbH

Blockade von E-Mail-Konten

Microsoft will keine Konten mehr sperren

Stärkung des MSP-Geschäfts

Proofpoint übernimmt Hornetsecurity

Microsoft 365 und Cloud-Apps

Indeno übernimmt Vertrieb und Betrieb der Eperi-Plattform

Alle Regionen und Ebenen betroffen

Microsoft streicht Tausende Arbeitsplätze

Microsoft Power Women Awards 2025

Vorjahresgewinnerin Hanke: „Auf geht's!“

Matchmaker+
Vertiv GmbH

Vertiv GmbH
dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)
G DATA CyberDefense AG

G DATA CyberDefense AG
Riello UPS GmbH

Riello UPS GmbH
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG