微软因证书泄漏对D-Link（友讯）撤消信任证书

微软因上个礼拜友讯公司无意中泄漏证书信息,于本周星期四对D-Link公司撤消信任证书。

微软说它已经修改了证书信任列表,移除对四证书的信任,该证书可能已经在攻击中被利用来签署恶意代码。

这些证书中,包含一个属于D-Link的以及另一个阿尔法网络的,这两个被Symantec发布。其他两个,为keebox和TRENDnet,这两个被GoDaddy发布。

微软表示,客户端版本的Windows 8,8.1和10,以及Windows Server 2012,Windows Server 2012 R2,Windows RT和Windows Phone 8和8.1的自动更新程序,无需用户交互将吊销这些证书。Windows Vista,Windows 7和Windows Server 2008 R2和2008也有一个自动安装程序可用,但它不是自动的安装了相应的操作系统的。微软说,这些用户可以安装自动更新或安装更新2813430。

该问题于上星期五浮出水面,当日一家荷兰科技网站报道在该公司的开放源码软件包中发现了被D-Link使用的私人密钥,并用此来标记其自己的软件。荷兰安全公司Fox-IT也证实了这一发现。

泄露一个合法的代码签名证书有潜在的严重后果。在恶意软件开发者中使用被盗的数字证书是一种常见的现象,攻击者寻找一种方法来获取他们的过去的安全系统的代码。许多安全技术将信任的那些已经被签名过的文件,并且让他们通过。许多APT组织都会在有针对性的攻击中,充分利用丢失的或被盗证书签署恶意软件。

密钥在可供下载的DCS-5020L安全摄像机器的固件中可以找到;除了私人的D-Link key以外,口令以及其它信息必要的符号代码都是可获得的。

Fox-IT 的研究员Yonathan Klijnsma 告诉Threatpost :“我认为这是一个由那个将源代码打包出版的人造成的错误。代码签名证书是目前唯一 一个特定版本的源代码包。以上的版本以及先前的版本,该特定的包在代码签名证书属于的位置并不包含文件夹。一个简单的文件夹错误,排除了我所能看到的。“

友讯公司称,D-Link证书在二月二十七日发布,并且在网上对外提供的时间超过6个月。其已于7月3日过期。无论这些证书是否在任何攻击活动中被用于签署恶意软件,这都是未知的。