Microsoft hangt Windows Update aan nieuwe certificaten, in reactie op superspyware Flame. Deze certificaten zijn echter kwetsbaar voor een aanval die al sinds september bekend is.

De zogeheten BEAST-aanval (Browser Exploit Against SSL/TLS) lijkt van toepassing op de volledig nieuwe certificaten die nu van kracht zijn voor Windows Update. De encryptieaanval BEAST is eind september vorig jaar onthuld door twee securityonderzoekers, die het in mei al hebben gemeld aan browsermakers. De twee hackers weten de versleuteling van beveiligde verbindingen te kraken door een zwakke plek in TLS 1.0 (transport layer security).
Oude, compatibele versie

Die oude versie van SSL-opvolger (secure sockets layer) TLS is nog veel in gebruik, ondanks de beschikbaarheid van TLS 1.1 en 1.2. Die nieuwere, BEAST-bestendige versies worden maar weinig ondersteund door serversoftware en browsers. Microsoft heeft voor zijn nieuwe certificaten ook gekozen voor het meer compatibele TLS 1.0, ontdekt beveiligingsonderzoeker Ryan Hurst, cto van certificatenbedrijf GlobalSign.

Microsoft heeft die twee geheel nieuwe certificaten in het leven geroepen nadat het gecompromitteerde eigen certificaten ongeldig heeft gemaakt, plus de bijbehorende certificaatverstrekkers. Twee eigen Certificate Authority's (CA's) van de Windows-maker zelf en drie certificaten daarvan zijn misbruikt door superspyware Flame. De Windows-producent neemt een reeks maatregelen om de certificaatfraude van die spionagemalware aan te pakken.
Niet vertrouwd

Verder zijn de nieuwe certificaten niet erkend - of nog niet erkend - door browsermaker Mozilla en door Mac-maker Apple. Hierdoor geven zowel Firefox als Safari (de standaardbrowser op iOS) waarschuwingen over de Microsoft-certificaten. De twee alternatieve browsers komen met alarmmeldingen dat de certificaten niet vertrouwd zijn. Dit geldt ook voor de certificaatcontrole van securityleverancier Qualys, die hiervoor vertrouwt op de certificaten-store van Mozilla. De root waar de nieuwe Microsoft-certificaten vanaf stammen, is namelijk niet bekend.

Dit hoeft in de praktijk geen groot probleem te zijn. Microsoft heeft de nieuwe certificaten in het leven geroepen voor zijn eigen patch-distributiesysteem Windows Update. De updates die daarlangs worden aangeboden komen alleen via Microsofts eigen software binnen. Het downloaden van updates op de website WindowsUpdate.com was vroeger alleen mogelijk met Microsofts eigen browser Internet Explorer, maar sinds enige tijd is bezoeken alleen mogelijk met de specifieke update-tool die is ingebouwd in Windows.
Meer mankementen

Volgens Hurst mankeert er echter meer aan de nieuwe Microsoft-certificaten. Zo gebruikt het bedrijf gewone certificaten en niet de beter geachte EV-exemplaren (Extended Validation). Verder gebruikt de certificatenserver relatief zwakke algoritmes voor de encryptie van die digitale 'echtheidsdocumenten'. Overigens komt Microsoft half augustus met updates voor alle Windows-versies waarmee het dan 1024-bit encryptie afdwingt. Zwakkere encryptie wordt in de ban gedaan.