Microsoft отозвала доверие к четырем цифровым сертификатам, которые по ошибке раскрыла D-Link.

Представители Microsoft заявили, что из списка доверенных сертификатов были удалены четыре потенциально скомпрометированных сертификата, которые могут использоваться злоумышленниками для подписания вредоносного кода.

Два сертификата были выданы Symantec и принадлежат D-Link и Alpha Networks. Оставшиеся сертификаты, принадлежащие Keebox и TRENDnet, были выданы GoDaddy.

По заявлениям представителей Microsoft, доверие к сертификатам будет отозвано при помощи механизма автоматического обновления, присутствующего в клиентских версиях Windows 8, 8.1, 10, Windows Server 2012, Windows Server 2012 R2, Windows RT, Windows Phone 8 и 8.1. Хотя Windows Vista, Windows 7, Windows Server 2008 и 2008 R2 технически также поддерживают подобный механизм автоматического обновления, он однако не входит в базовый набор ПО, устанавливаемого вместе с ОС. Представители Microsoft заявили, что пользователи этих ОС могут установить как само обновление (update 2813430), так и механизм автоматического обновления, который скачает и установит его автоматически.

Проблема стала достоянием общественности в минувшую среду, когда на голландском веб-сайте появилась информация о том, что в одной из прошивок с открытым исходным кодом были обнаружены закрытые ключи, используемые для подписания программного обеспечения D-Link. Голландская ИБ-компания Fox-IT подтвердила наличие проблемы после того, как с ней на связь вышли представители веб-сайта.

Утечка легитимного сертификата, используемого для подписания кода, может иметь серьезные последствия. Разработчики вредоносного ПО используют краденые сертификаты, чтобы их код смог обойти системы защиты. Многие защитные технологии расценят подписанный файл как доверенный и пропустят. Краденые сертификаты используют также APT-группировки при проведении целевых атак.

Ключи были обнаружены в прошивке для камеры видеонаблюдения DCS-5020L, которую можно скачать с веб-сайта D-Link; помимо самих ключей там же были обнаружены кодовые фразы и прочая информация, необходимая для того, чтобы успешно подписать код.

«По всей видимости, ошибку совершил человек, ответственный за подготовку пакетов с исходным кодом. Сертификат присутствовал лишь в одной версии прошивки, — заявил в комментарии Threatpost Ионатан Клейнсма (Yonathan Klijnsma), исследователь из Fox-IT. — В более ранних и более поздних версиях этой прошивки сертификатов обнаружено не было. Скорее всего, это банальная ошибка, связанная с тем, что папку с сертификатами забыли исключить из пакета».

По заявлениям представителей компании, сертификат D-Link был выдан 27 февраля и, таким образом, был потенциально доступен злоумышленникам в течение более шести месяцев. Срок его действия истек 3 сентября. На данный момент неизвестно, смогли ли злоумышленники воспользоваться этим сертификатом, чтобы подписать вредоносное ПО.

Категории: Уязвимости