Como o Flame falsifica o Windows Update

Certificados falsos são a principal razão, mas o malware de espionagem também engana o serviço de actualização da Microsoft em redes.

Investigadores de segurança publicaram desde ontem informações detalhadas sobre como o malware de espionagem Flame se espalha através de uma rede explorando o mecanismo do Windows Update, da Microsoft.
As suas análises respondem a uma questão que intrigou os investigadores do Kaspersky Lab, em Moscovo: como é que o Flame conseguiu infectar computadores com versões actualizadas do Windows 7?
A chave para o falso processo do Windows Update foi que os “hackers” localizaram e exploraram uma falha na autoridade de licenciamento de certificados (CA) para o Terminal Services da empresa, o que lhes permitiu gerar certificados validados por código “assinados” pela Microsoft.
Com esses certificados falsos, os atacantes podiam enganar um PC com Windows para aceitar um ficheiro como uma actualização da Microsoft, quando na realidade não era nada disso.
“Sequestrar o Windows Update não é trivial porque as actualizações devem ser assinadas pela Microsoft”, observou a Symantec na segunda-feira numa série de textos que os seus investigadores têm escrito sobre o Flame.
Um dos certificados era válido entre Fevereiro de 2010 e Fevereiro de 2012, e foi usado para assinar um ficheiro malicioso no final de Dezembro de 2010, acrescentando mais informações aos peritos na construção de um cronograma de desenvolvimento e dos ataques do Flame.
Outros especialistas em segurança ficaram ainda mais impressionados com o que o flame conseguiu. Na segunda-feira, Mikko Hypponen, chefe de pesquisa da F-Secure e a primeira a anunciar que o Flame estava a usar o Windows Update, chamou ao feito “o Santo Graal dos programadores de malware” e “o cenário de pesadelo” para os investigadores de antivírus.
Mas, como tanto a Symantec e a Kaspersky apontaram, o Flame na realidade não compromete o Windows Update. Não se infiltra de forma alguma no serviço da Microsoft – e nos servidores – para forçar o envio de ficheiros maliciosos para os utilizadores.
Em vez disso, um PC infectado com o Flame pode, nalgumas situações, fazer outras máquinas em rede acreditarem que é o Windows Update.
Um PC comprometido pelo Flame pode farejar informações sobre NetBIOS na rede, que identifica cada computador, e em seguida usar isso para interceptar pedidos de actualizações do Windows pelo Internet Explorer (IE). O Flame assume-se como o servidor do WPAD (Web Proxy Auto-Discovery Protocol) – um sistema que fornece configurações de proxy para cópias do IE na rede – e envia um arquivo de configuração WPAD malicioso para o PC requerente.
Como observou a Symantec, o “hijacking” do WPAD não é novo e é, na realidade, parte de muitos “toolkits” de hackers.
O ficheiro falso de configuração do WPAD modifica as configurações de proxy da máquina-vítima, de modo que todo o tráfego da Web é encaminhado através do sistema infectado pelo Flame. Nesse PC, o servidor Web do Flame – apelidado de “Munch” – entra em acção, detecta quando o URL solicitado corresponde ao Windows Update e, em troca, devolve um programa de download [“downloader”] disfarçado como uma actualização legítima da Microsoft.
Para completar a farsa, o “downloader” é um dos vários ficheiros compactados – disfarçado no “cabinet” ou formato de ficheiro “.cab” – incluído no Windows Update.
Uma vez o “downloader” instalado, ele obtém uma cópia do Flame do PC já infectado e usa-o para comprometer o computador.
Esta técnica complexa de propagação acrescentou respeito dos relutantes investigadores à ameaça.
“À medida que continuamos a nossa investigação… mais e mais detalhes aparecem [que mostram] como este é um dos programas maliciosos mais interessantes e complexos que já vimos”, disse Alexander Gostev, que lidera a equipa de pesquisa e de análise da Kaspersky, num blogue.
A Microsoft revogou três certificados gerados pelos atacantes, tornando ainda mais difícil a falsificação de ficheiros do Windows Update em PCs actualizados, a menos que existam mais certificados falsos cuja existência se desconhece. A empresa também tem bloqueado a produção por terceiros de novos certificados assinados por código.




Deixe um comentário

O seu email não será publicado