品牌木馬?惠普自擺烏龍給惡意軟件簽名
責編:admin |2014-10-13 13:35:32惠普通過分拆的方式剛剛擺脫PC業務,但一些安全舊賬卻沉渣泛起,剪不斷理還亂。
惠普近日向部分客戶發出警告,將撤銷一個用于簽發大量PC軟件和硬件驅動的數字簽名。因為惠普發現該證書被用于簽發一種惡意軟件,事情的起因是該惡意軟件通過感染一位惠普開發者的電腦獲得數字簽名。在給一些客戶的建議中,惠普告知將于2014年10月21日撤銷該證書嗎,大量舊型號惠普電腦上運行的軟件都由該證書簽發。
據惠普全球首席信息安全官Brett Wahlin透露,惠普近日接到賽門鐵克的安全警報:一個Windows木馬使用惠普數字證書長達四年之久!
據惠普安全人員調查,一個木馬惡意程序感染了一位惠普開發者的電腦,將自己重命名偽裝成惠普軟件測試中常用的文件,然后該惡意軟件魚目混珠作為軟件包的一部分獲得了簽名,惠普相信之所以惡意軟件出現在惠普內網之外是因為該惡意軟件具有向傳播源頭回傳拷貝的功能。
Wahlin表示,雖然惡意程序用惠普的證書在互聯網上傳播,但提供給惠普客戶的軟件包并沒有這個木馬程序,問題軟件業從未在生產環境使用過。他堅稱惠普的代碼簽名基礎結構是100%完整的。而且也沒有任何證據表明惠普的證書失竊。
用于簽署程序代碼的數字證書是黑客的最愛,尤其是幾大軟件廠商的私有證書,因為攻擊者利用這些證書可以更好的偽裝自己。最有名的案例莫過于震網(Stuxnet)超級病毒。
雖然惠普這次失竊的證書六年前就已經失效(只能給舊軟件簽名,無法簽發新文件)但由于已經簽發的軟件和驅動數量巨大,撤銷該證書意味著惠普必須重新簽發客戶正在使用的軟件。
有趣的事,有一個問題即使是微軟也無法回答,那些通過系統恢復分區恢復系統的客戶怎么辦?
在接受安全博客KrebsonSecurity采訪時,Wahlin表示這種情況在實驗室測試不了,需要等到10月21日Verisign撤銷證書那天再看。