Schnüffel-Schädling Flame mit Microsoft-Signatur

CyberkriminalitätEnterpriseProjekteSicherheitSoftware-Hersteller

Komponenten der Malware Flame ist mit einem digitalen Zertifikat signiert, das auf Microsoft als Ausgabestelle zurückverweist. Microsoft hat eine Sicherheitswarnung herausgegeben und hat nach eigenen Angaben “sofort damit begonnen, das Problem zu untersuchen”.

Mike Reavey vom Microsofts Security Response Center (MSRC) warnt: “Nach unseren Forschungen könnten einige von dieser Schadsoftware verwendete Techniken auch von weniger raffinierten Angreifern eingesetzt werden.”

In seiner Sicherheitsmeldung erwähnt Microsoft die Gefahr von Spoofing, also Täuschung des Nutzers über den Ursprung eines Programms oder einer Webseite. Man habe nun die beiden zwischengeschalteten Validierungsstellen abgeschaltet, um dies zu verhindern. Für Windows-Systeme steht außerdem ein Patch bereit.

Unklar bleibt, wer Zugang zu den Zertifikaten hatte und ob sie von autorisierten Mitarbeitern missbraucht worden sein könnten. Jonathan Ness vom MSRC erklärt nur: “Was wir herausgefunden haben, ist, dass von unserer Zertifizierungsstelle für Terminal Services herausgegebene Zertifikate so modifiziert werden können, dass sie von Microsoft zu stammen scheinen. Sie sind aber nur dafür gedacht, Serverlizenzen zu prüfen.” Solche Zertifikate würden ab sofort nicht mehr herausgegeben.

Flame hat sich vor allem in nahöstlichen Ländern und insbesondere im Iran verbreitet. Nach iranischen Angaben wurden zahlreiche Rechner hoher Regierungsmitarbeiter befallen. Der Spionageangriff habe speziell Irans Ölindustrie gegolten, heißt es. Das Ministerium für Öl und Energie musste im letzten Monat alle Internetverbindungen kappen und Daten aus Sicherungsdateien wiederherstellen.

Kaspersky hat Flame “die komplexeste Bedrohung aller Zeiten” genannt. Die vor allem im Nahem Osten umlaufende Windows-Malware ist vermutlich im Auftrag eines Staats entstanden.

Fotogalerie: So arbeitet die Überwachungsindustrie

Klicken Sie auf eines der Bilder, um die Fotogalerie zu starten

[Mit Material von Florian Kalenda, ZDNet.de]

Hinweis: Lesen Sie Artikel von silicon.de ab sofort auch in Google Currents. Jetzt abonnieren.