Khám phá ra cách Flame giả mạo Windows Update

Chìa khóa cho việc giả mạo quá trình Windows Update là những tin tặc đã tiến hành giả mạo "một luồng" trong danh sách chứng thực số của Terminal Services và cho phép các tin tặc giả mạo tạo các mã chứng thực số được ký trước bởi Microsoft.

 Với các chứng thực số giả mạo này, những kẻ tấn công có thể lừa một máy tính sử dụng Windows nhận một tệp tin như việc cập nhật từ Microsoft.

 

"Giả mạo Windows Update là không thể bởi vì những cập nhật phải được ký bởi Microsoft. Điều đó có nghĩa là Flame không thực sự sử dụng Windows Update, vậy chúng thực sự sử dụng cơ chế nào?" Symantec lên tiếng vào thứ hai vừa qua trong một loạt các bài viết của họ về Flame. 

 

Giải thích cho vấn đề này, các chuyên gia bảo mật cho biết: "Một máy tính sử dụng Windows đã bị nhiễm Flame trong một vài tình huống có thể làm cho các máy tinh khác trong một mạng tin rằng nó là Windows Update. Cụ thể, một máy tính đã bị nhiễm Flame có thể "đánh hơi" các thông tin NetBIOS, để xác định mỗi máy tính trong mạng rồi gửi các yêu cầu Windows Updates bởi trình duyệt Internet Explorer (IE). Flame trở thành máy chủ web sử dụng giao thức tự động tìm proxy (Web Proxy Auto-Discovery Protocol), một hệ thống mà cung cấp những thiết lập tới những bản sao của IE trong mạng và gửi các tệp tin cấu hình mã độc WPAD tới các máy tính đang gửi yêu cầu".

Theo Symantec thì việc giả mạo WPAD không mới và trên thực tế đây là một phần của nhiều bộ công cụ trong giới tin tặc.