大家好,
我们最近注意到了一个名为“火焰”的复杂而又极具针对性的恶意软件,便立即着手调查这一问题。正如目前很多报告所指出,该恶意软件被用于进行高度复杂且极具针对性的攻击中,所以绝大部分用户并不受威胁。此外,大部分杀毒软件目前都可以侦测并删除该恶意软件。但我们的研究发现,该恶意软件使用的某些技术可能被一些低级攻击者用于更广泛的攻击。所以,为了同时帮助已受威胁的特定客户和那些将来可能受到威胁的广大客户,我们在此分享我们的研究,并且正在采取措施降低客户的风险。
通过分析我们发现此恶意软件的一些组件经过了签名,使得它们看起来像是来自微软。我们调查发现一个较早的加密算法存在漏洞可被利用来为代码签名,使其看起来像是来自微软。具体地说,微软的终端服务器授权服务(允许客户在其企业中授权远程桌面服务)使用这种较早的算法并提供了具有为代码签名能力的证书,因而使得代码可以看起来像是来自微软。
我们正在采取以下措施消除此风险:
首先,微软今天发布了一项安全公告列出了客户屏蔽这些未授权证书所需采取的步骤
其次,微软发布了一个补丁,此补丁会自动为客户执行上述步骤
第三,终端服务器授权服务不再发布允许代码被签名的证书
这些措施将确保那些利用此方法生成的恶意软件不再具有假冒成来自微软的能力。
我们正在继续调查此事并将采取妥善措施保护我们的用户。如需更多信息,请访问此网站,并与你的防恶意软件厂商取得联系,获取检测方面的支持。
关于此问题的技术细节,请参考 微软证书授权中心签发的证书被加入不可信证书库。
我们强烈推荐您注册微软全面安全提醒服务,点击此处注册:微软技术安全通知
推荐关注微软安全官方微博, 以及时获取最新微软安全信息:
腾讯微博 - http://t.qq.com/MicrosoftTwC
新浪微博 - http://www.weibo.com/microsofttwc
谢谢!
Mike Reavey
资深总监,微软安全响应中心
微软可信赖计算部