Украденные SSL сертификаты не могут быть использованы хакерами для доступа к Windows Update

Корпорация Microsoft заявляет, что цифровые сертификаты, украденные у голландской компании DigiNotar, не могут быть использованы для принудительной установки вредоносного ПО на пользовательские компьютеры с помощью сервиса Windows Update.

Такое заявление последовало после хищения огромного количества сертификатов SSL (Secure Sockets Layer, уровень защищённых сокетов) — криптографических протоколов, которые обеспечивают установление безопасного соединения между клиентом и сервером. Всего было украдено более 500 сертификатов, в числе которых находились и те, которые могли быть использованы для махинаций с сервисом Windows Update (когда хакерские действия могли интерпретироваться как действия корпорации Microsoft). Пропажа была обнаружена голландскими властями и несколькими пострадавшими разработчиками.

"Злоумышленники не могут использовать сертификат Windows Update для установки вредоносного ПО через серверы Центра обновления Windows", – заявил Джонатан Несс, инженер центра безопасности Microsoft Security Response Center (MSRC), в корпоративном блоге. "Механизм обновления Windows Update будет устанавливать только двоичные данные, имеющие действительный корневой сертификат Microsoft, который выдаётся лишь самой корпорацией, и очень строго охраняется".

Теперь стало известно, что семь из 531 похищенного сертификата, полученных хакерами обманным путём в июле, принадлежали доменным именам update.microsoft.com и windowsupdate.com, а также другим веб-адресам в доменном пространстве *.microsoft.com.

Согласно заявлению Редмонда, хакеры не смогут использовать украденный сертификат для домена windowsupdate.com, так как корпорация более не использует это доменное имя. Сервис Windows Update сейчас "разместился" на windowsupdate.microsoft.com. Однако шесть других сертификатов – для update.microsoft.com и других из пространства *.microsoft.com вполне могут использоваться злоумышленниками.

Как уже говорил мистер Несс, обновления, распространяемые через сервисы Microsoft, подписаны специальным сертификатом, который надёжно охраняется корпорацией. Без него попытки установки чего-либо через сервис обновления Microsoft будут бесполезными.

Другие производители ПО, включая Apple, также используют отдельный сертификат для подписи выпущенных ими обновлений. Корпорация Google выпустила обновление для браузера Chrome ещё в субботу, чтобы заблокировать все украденные у DigiNotar сертификаты. Mozilla планирует сделать тоже самое для браузера Firefox сегодня.

Интересно, что частичное блокирование Редмондом сертификатов DigiNotar и другие уже предпринятые меры защищают лишь пользователей операционных систем Windows Vista, Windows 7, Windows Server 2008, а также Windows Server 2008 R2. Пользователям Windows XP и Windows Server 2003 придётся подождать выхода специального обновления для этих ОС; Несс отметил только, что такое обновление "вскоре будет доступно". А пока пользователи вышеуказанных ОС ожидают выхода обновления, они могут защитить себя сами, вручную удалив сертификаты DigiNotar из списка разрешённых. Подробная инструкция как это сделать была опубликована в корпоративном блоге Microsoft – "Security Research & Defense" (на английском).

Обновление:

Как стало известно, Microsoft всё же выпустила патч для целого ряда ОС, устраняющий проблему с украденными у DigiNotar SSL сертификатами. Патч уже доступен на Windows Update, а подробную информацию о нём вы можете прочитать на официальном сайте центра безопасности Microsoft: Microsoft Security Advisory (2607712).