Log ind
Publiceret d. 6. september 2011 kl. 13.41
ANNONCE:
Det fremhæver selskabet efter et massivt tyveri af over 500 SSL-certifikater (secure socket layer), inklusiv adskillige der kan misbruges til at efterligne Microsofts services til opdatering. Du kan læse mere om tyveriet her.
"Det er ikke muligt for angribere at udnytte et falsk Windows Update-certifikat til at installere malware via Windows Update-serverne," fastslår Jonathan Ness, der er softwareingeniør hos Microsoft Security Response Center (MSRC), i et blogindlæg søndag.
"Windows Update-klienten vil kun installere binære data, der er underskrevet af et faktisk rodcertifikat fra Microsoft, hvilket udstedes og sikres af Microsoft.
Mange certifikater til Microsoft-domæner
Syv af de i alt 531 certifikater, der nu vides at være blevet udstedt i juli under falske forudsætninger til hackere, var til domænerne update.microsoft.com og windowsupdate.com, mens yderligere seks var til *.microsoft.com.
Certifikaterne til windowsupdate.com vil ifølge Microsoft ikke kunne misbruges af angribere, da selskabet ikke længere anvender dette domæne. (Windows Update ligger nu på windowsupdate.microsoft.com.)
Der er dog risiko for udnyttelse af update.microsoft.com - hvilket er domænet brugt af Microsoft Update - og af jokeren *.microsoft.com.
Som Ness påpeger, er opdateringerne, der leveres via Microsofts services, underskrevet med et separat certifikat, som Microsoft holder tæt ind til kroppen.
Uden dette code signing-certifikat vil forsøg på at levere malware forklædt som en opdatering til Windows altid slå fejl.
Andre leverandører heriblandt Apple underskriver også deres softwareopdateringer med et særskilt certifikat.
Læs også:
CIA og MI6 mister vigtige certifikater til hackere
Oversat af Thomas Bøndergaard
|
