微软发布一项重要安全通报 - 2718704
大家好!
我们最近注意到了一个名为“火焰” (Flame) 的复杂而又极具针对性的恶意软件,便立即着手调查这一问题。正如目前很多报告所指出,该恶意软件被用于进行高度复杂且极具针对性的攻击中,所以绝大部分用户并不受威胁。此外,大部分杀毒软件目前都可以侦测并删除该恶意软件。但我们的研究发现,该恶意软件使用的某些技术可能被一些低级攻击者用于更广泛的攻击。所以,为了同时帮助已受威胁的特定用户和那些将来可能受到威胁的广大用户,我们在此分享我们的发现,我们也正在采取措施降低用户面临的风险。
通过分析我们发现此恶意软件的一些组件经过了签名,使得它们看起来像是来自微软。调查发现,一个较早的加密算法存在漏洞可被利用来为代码签名,使其看起来像是来自微软。具体地说,微软的终端服务器授权服务 (允许用户在其企业中授权远程桌面服务) 使用这种较早的算法并提供了具有为代码签名能力的证书,因而使得代码可以看起来像是来自微软。
我们正在采取以下措施消除此风险:
- 首先,微软今天发布了一项安全公告,列出了用户屏蔽这些未授权证书所需采取的步骤
- 其次,微软发布了一个更新,此更新会自动为用户执行上述步骤
- 第三,终端服务器授权服务不再发布允许代码被签名的证书
这些措施将确保那些利用此方法生成的恶意软件不再具有假冒成来自微软的能力。
我们会持续调查此事并将采取妥善措施保护我们的用户。如需更多信息,请继续关注我们的网站,并与你的防恶意软件厂商取得联系,获取恶意软件检测方面的支持。
如果对此问题的技术细节感兴趣,请访问我们的“安全研究与防御”博客: https://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx。
我们强烈推荐您注册微软安全通知服务来获取全面的信息,点击此处注册:微软技术安全通知
谢谢!
Mike Reavey
资深总监,微软安全响应中心
微软可信赖计算部