mboost-dp1

Microsoft

Comodohacker påstår, han kan udstede falske Windows-opdateringer

- Via CNET News -

Hackeren Comodohacker, der er blevet berygtet for i år at have hacket flere udstedere af SSL-certifikater, påstår nu, at han har mulighed for at udstede falske Windows-opdateringer via Windows Update. Microsoft forsikrer dog om, at dette er umuligt.

Comodohacker skrev:
I’m able to issue windows update, Microsoft’s statement about Windows Update and that I can’t issue such update is totally false! I already reversed ENTIRE windows update protocol, how it reads XMLs via SSL which includes URL, KB no, SHA-1 hash of file for each update, [and] how it verifies that downloaded file is signed using WinVerifyTrust API.

Firmaet DigiNotar blev tilbage i juli ramt af et angreb, hvor flere SSL-certifikater blev forfalskede. Nogle af disse gjaldt for domæner som microsoft.com, windowsupdate.com og update.microsoft.com. Certifikaterne blev annulleret i en Windows-opdatering, som Microsoft sendte ud for et stykke tid siden, og de mener, at deres Windows Update-tjeneste er helt sikker.

Microsoft skrev:
The Windows Update client will only install binary payloads signed by the actual Microsoft root CA certificate, which is issued and secured by Microsoft. Also, Windows Update itself is not at risk, even to an attacker with a fraudulent certificate.

Hvis Comodohacker reelt kan udsende forfalskede opdateringer, vil han have mulighed for nemt at distribuere malware til flere af verdens computere. Beskeden kan findes i en ny indsendelse til pastebin.com.





Gå til bund
Gravatar #1 - HerrMansen
13. sep. 2011 07:32
Uhyggeligt :D
Gravatar #2 - KilRoY
13. sep. 2011 07:35
Og det ville faktisk ikke undre mig at det ville kunne lade sig gøre for ham, i så fald ville han få verdens største botnet under sig uden problemer.. puha
Gravatar #3 - Montago.NET
13. sep. 2011 07:35
i større virksomheder, har man ofte en server som holder styr på opdateringer - hvis denne kompromiseres med dette hack, vil man kunne pushe falske updates ud på hele LAN'et...

heldigvis burde sådanne updates blive fanget af sys admin som bestemmer hvilke updates der skal ud på LAN'et. Men det kunne jo tænkes at serveren bliver hacket og derved sprøjter falske updates ud...

det er i sådanne scenarier at dette hack giver mest mening.
Gravatar #4 - Mnc
13. sep. 2011 07:37
#0 skrev:
gjaldt
Gravatar #5 - fennec
13. sep. 2011 07:39
Er der nogen der kan forklare hvordan han kan det??

Jeg er med på at han har fået fat på et SSL til windows update, men det giver ham vel kun mulighed for at lave en falsk side (f.eks. fakewindowsupdate.com). Tilgår en bruger den side, kan der blive installeret programmer.

MEN, hele rutinen til opdatering af windows er jo efterhånden automatiseret, og computeren tilgår selv det rigtige domæne, og jeg kan ikke tro han har adgang til at ligger programmer der.

[edit]
Lader til at #3 kom med en forklaring.
Gravatar #6 - Montago.NET
13. sep. 2011 07:42
#5

med en HOST-header eller DNS-hack kan du få en windows maskine til at tro at HackMe.com er en windowsupdate server...
Gravatar #7 - Alrekr
13. sep. 2011 07:49
Mnc (4) skrev:
#0 skrev:
gjaldt


Æhm...
Gravatar #8 - AndersAndersson
13. sep. 2011 07:49
#5 det hjælper jo ikke noget når MS siger at windows update agenten tjekker for om den er signed.

#6 det samme som overstående :)

Om manden/damen så har fået adgang til MS CA server og har kunne udstede både en signing key, og en web key, det skal jeg så ikke kunne sige.

Men mon dog? dette har MS jo nok sikret sig at tjekke.
Gravatar #9 - terracide
13. sep. 2011 07:51
Der mangler én ting her:

Proof of concept.

Indtil da, kan han bræge op så tosset han lyster.
Gravatar #10 - ISCS
13. sep. 2011 08:08
terracide (9) skrev:
Der mangler én ting her:

Proof of concept.

Indtil da, kan han bræge op så tosset han lyster.


Lige netop min tanke.

#0 skrev:
WOOOOORLLLLDDD! Wait for me, you have so much more SHOCKINGS to see from me! From a person who came to this world just 21 years ago! JUST WAIT!


Hehe... Shockings?
Gravatar #11 - Simm
13. sep. 2011 08:12
Utroligt sådan en røvbanan kan få spalteplads...
Gravatar #12 - Thinq
13. sep. 2011 08:14
CH: Det kan jeg
MS: Det kan han ikke
CH: Det kan jeg altså
MS: Det kan du da ikk
CH: Jo jeg kan
MS: Det er umuligt

Er der andre der får associationer til [url= Skænderiforum[/url]


Gravatar #13 - Comodo
13. sep. 2011 08:15
fennec (5) skrev:
Er der nogen der kan forklare hvordan han kan det??

Han er rigtig god till at google med bing ham hackeren :P [url=

Gravatar #14 - Unimox
13. sep. 2011 08:27
Do it. Så kan man da lukke munden på den politikker som sagde
"det er for dumt at bruge et ikke gennemtestet system"
Og det er grunden til at bruge windows ^.- fordi linux kan man ikke gennemteste.

Så kan han tænke en ekstra gang over denne.
Gravatar #15 - Mamad (moveax1ret)
13. sep. 2011 08:43
#14

Jeg er selv linux "fan", men hvad er det da for noget vrøvl?
Prøv lige at gennemlæs din post, og omformuler til noget der giver mening.
Gravatar #16 - starn
13. sep. 2011 09:35
Har MS ikke været ude og sige at det certifikat som bruges til af signe opdateringer er holdt hemmeligt HOS MS? Og ikke hos et andet firma, som her.
Gravatar #17 - GurliGebis
13. sep. 2011 09:35
Såfremt at deres update klient checker efter om alle updates er signeret med et certifikat udstedt af Microsoft selv, så er det fuldkommen lige meget om det er lykkedes ham at få fat på et falsk certifikat til websitet, da det ikke vil give ham mulighed for at signere updates med et certifikat udstedt af Microsoft.

EDIT: Øv, 7 sekunder for langsom :)

#16: Helt rigtigt :)
Gravatar #18 - .dot
13. sep. 2011 12:38
Mamad (moveax1ret) (15) skrev:
#14

Jeg er selv linux "fan", men hvad er det da for noget vrøvl?
Prøv lige at gennemlæs din post, og omformuler til noget der giver mening.


Jeg tror det har noget med sarkasme at gøre.
Gravatar #19 - Nicolai
13. sep. 2011 14:57
Lad os lige få det på det rene: Han hackede en Comodo RESELLER (altså ikke Comodo, men et andet firma). Okay, det var meget fint klaret (selvom resellerens sikkerhed var helt i bunden). Så har han med hjælp fra den Iranske regering (eller regeringer) hacket sig ind i DigiNotar. (medmindre det var ham selv, der udspionerede +300K Iranere?).

Alle hans 'pastes' sådan noget vrøvl og egoistisk sludder:
You see? I'm so smart, sharp, dangerous, powerful, etc. huh?
May I also start a web hacking course for Anonymous and Lulzsec and friends of them, Rootkit development for Stuxnet developers, 0-day vuln. assessment in Windows and Linux environment for Stuxnet developers and other hackers too. huh? What do you think?

WOOOOORLLLLDDD! Wait for me, you have so much more SHOCKINGS to see from me! From a person who came to this world just 21 years ago! JUST WAIT!

Det er forfærdeligt 'grimt' at læse.

Og Newz, det er vel ikke en "ny indsendelse", når den er 5 dage gammel?
Gravatar #20 - arrogant
13. sep. 2011 14:57
Og så er der lige den del af windows update der hedder
CertVerifyCertificateChainPolicy som kontrollere det faktisk er MS root cert.

http://msdn.microsoft.com/en-us/library/aa377163(v...
Gravatar #21 - kasperd
13. sep. 2011 16:02
Hvorfor er der overhovedet nogen der interesserer sig for hvad en tilfældig pastebin bruger påstår?

Jeg tror ikke at personerne bag disse angreb har nogen interesse i opmærksomhed. Angrebene har haft et helt andet formål. Forfalskede SSL certifikater kan bruges til mange interessante angreb. At udsende forfalskede software opdateringer er ikke et af disse formål. Første download af software kunne angribes. Men opdateringer kan som Microsoft påpeger ikke forfalskes med et forfalsket SSL certifikat, hvis ellers systemet til softwareopdateringer er nogenlunde gennemtænkt.

På den anden side er der en person med et enormt ønske om opmærksomhed som udsender disse tåbelige beskeder. Jeg ser ingen data som sandsynliggør at denne person har noget med angrebene at gøre.

Dermed har de nye påstande fra denne person absolut ingen troværdighed. Microsoft har ved at sætte navn på sine udtalelser langt mere troværdighed.

Hvis personen faktisk havde formået at få udstedt forfalskede certifikater, så kunne han nemt bevise det ved at anvende et af dem til at sætte en signatur på sine påstande.

Indtil sådan en signatur fremvises bør denne person bare ignoreres.
Gravatar #22 - Nicolai
13. sep. 2011 19:35
^ personen har bevist at han har (eller har haft) adgang til certifikaterne. Men som du selv siger, så er han enorm utroværdig (pga alt det lort han fyre af).

Min teori var at det var regeringen der brugte certifikaterne til at spionere på sine borgere (+300K Iranere er blevet udsat for SSL MiTM angreb på deres gmail). Så regnede jeg med at de (regeringen) gav alle deres certifikater og viden videre til ham ("ComodoHacker") og på den måde 'tøre' det af på ham (+ han får credit).

Men ifølge Fox IT's rapport, så har ComodoHacker (ham/en af dem) været inde i DigiNotar's systemer.

Det jeg tænker nu, er at der er flere personer; nogle til at hacke, og så en eller anden noob som sidder og skriver latterlige ting på Pastebin. De har ham 'nooben' for at få det hele til at se mere useriøs (og derved mindre farligt) ud.
Gravatar #23 - kasperd
13. sep. 2011 19:51
Nicolai (22) skrev:
personen har bevist at han har (eller har haft) adgang til certifikaterne.
Jeg har ikke set det bevis. Kan du fortælle hvor jeg kan se det?

Nicolai (22) skrev:
De har ham 'nooben' for at få det hele til at se mere useriøs (og derved mindre farligt) ud.
Det er vel også en grund til at ignorere ham.
Gravatar #24 - TormDK
13. sep. 2011 20:53
Jeg har kun tre ord at sige til ham gutten.

Not bloody likely.

Gravatar #25 - Nicolai
17. sep. 2011 11:53
kasperd (23) skrev:
Jeg har ikke set det bevis. Kan du fortælle hvor jeg kan se det?
I denne paste: http://pastebin.com/jhz20PqJ linker han til en signeret udgave af MS Calc: http://www.multiupload.com/EHI7YZAF4G

EDIT: Det skal lige siges at den IKKE er signeret af et MS' certifikat! Den er signeret af et 'ægte' DigiNotar *.google.com certifikat.
Gravatar #26 - kasperd
17. sep. 2011 14:00
Nicolai (25) skrev:
I denne paste: http://pastebin.com/jhz20PqJ linker han til en signeret udgave af MS Calc
Det øger troværdigheden. Jeg undrer mig over at han vælger at signere en så generisk programfil i stedet for at signere noget der faktisk kan relateres til hans pastebin account.

Jeg prøvede at verificere signaturen, men den er tilsyneladende i et format som openssl ikke kan håndtere, så jeg kan ikke selv verificere om signaturen er korrekt.
Gravatar #27 - Brugernavn
17. sep. 2011 18:59
Jeg glæder mig til at se om der kommer en Genuine Disadvantage opdatering.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login