Hackeren Comodohacker, der er blevet berygtet for i år at have hacket flere udstedere af SSL-certifikater, påstår nu, at han har mulighed for at udstede falske Windows-opdateringer via Windows Update. Microsoft forsikrer dog om, at dette er umuligt.
Comodohacker skrev:
I’m able to issue windows update, Microsoft’s statement about Windows Update and that I can’t issue such update is totally false! I already reversed ENTIRE windows update protocol, how it reads XMLs via SSL which includes URL, KB no, SHA-1 hash of file for each update, [and] how it verifies that downloaded file is signed using WinVerifyTrust API.
Firmaet DigiNotar blev tilbage i juli ramt af et angreb, hvor flere SSL-certifikater blev forfalskede. Nogle af disse gjaldt for domæner som microsoft.com, windowsupdate.com og update.microsoft.com. Certifikaterne blev annulleret i en Windows-opdatering, som Microsoft sendte ud for et stykke tid siden, og de mener, at deres Windows Update-tjeneste er helt sikker.
Microsoft skrev:
The Windows Update client will only install binary payloads signed by the actual Microsoft root CA certificate, which is issued and secured by Microsoft. Also, Windows Update itself is not at risk, even to an attacker with a fraudulent certificate.
Hvis Comodohacker reelt kan udsende forfalskede opdateringer, vil han have mulighed for nemt at distribuere malware til flere af verdens computere. Beskeden kan findes i en ny indsendelse til pastebin.com.