金山安全中心:Windows證書管理被利用

    泡泡網(wǎng)軟件頻道7月11日 日前，金山毒霸安全中心發(fā)現(xiàn)有病毒采用新的欺騙手段，騙過安全軟件檢查。病毒作者利用Windows證書管理機(jī)制存在的漏洞，給病毒木馬偽造數(shù)字簽名。“辦假證”后的病毒木馬可騙過某些安全軟件的簽名驗(yàn)證，金山毒霸特別發(fā)布證書防火墻應(yīng)對(duì)此類攻擊。

    數(shù)字簽名管理，是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中采用的一種信任機(jī)制，在電子商務(wù)和網(wǎng)上銀行業(yè)務(wù)中應(yīng)用非常廣泛。比如在淘寶購(gòu)物時(shí)，淘寶方面需要驗(yàn)證買家的數(shù)字簽名，以確認(rèn)這筆交易真的是買家發(fā)出，而且在交易信息傳遞的過程中未被篡改。在網(wǎng)購(gòu)達(dá)人的電腦上，與電子商務(wù)、網(wǎng)銀有關(guān)的數(shù)字證書都被Windows信任。

    金山安全中心稱，因?yàn)閃indows的簽名管理機(jī)制存在一些疏漏，有病毒作者將這些本來(lái)用于電子商務(wù)信息傳遞的數(shù)字證書，簽發(fā)給病毒木馬。一些安全軟件防御機(jī)制也存在問題：并不嚴(yán)格檢查程序的數(shù)字簽名，而是見到有簽名的程序就放行。就象一個(gè)很不負(fù)責(zé)任的保安，小偷拿個(gè)假證在眼前晃一眼，保安就放行了。

    “病毒作者可以繞過一些安全軟件簡(jiǎn)單驗(yàn)證數(shù)字簽名的防御機(jī)制，金山毒霸很早就放棄使用數(shù)字簽名來(lái)檢查文件安全性”。金山毒霸安全專家指出，“目前發(fā)現(xiàn)病毒用兩種手段利用Windows證書管理上的漏洞：一種是病毒自己制作一個(gè)證書，導(dǎo)入Windows系統(tǒng)，再用這個(gè)證書給病毒程序簽名；另一種是竊取他人合法簽名，仿冒證書頒發(fā)機(jī)構(gòu)。兩種方法都可以騙過不負(fù)責(zé)任的保安”。

    金山毒霸云安全中心表示，目前監(jiān)測(cè)到辦假證的病毒木馬逐漸增多，金山毒霸證書防火墻通過三層過濾，將“辦假證”的病毒木馬全部攔截：

    第一層：攔截被列入黑簽名的程序，一些病毒木馬總是帶著特定的數(shù)字簽名，只須將這些數(shù)字簽名列入黑名單，即可實(shí)現(xiàn)攔截。
    第二層：攔截所有不安全的程序在Windows中導(dǎo)入數(shù)字證書。
    第三層：采用啟發(fā)式證書安全鑒定，識(shí)別偽造數(shù)字簽名又被Windows系統(tǒng)信任的危險(xiǎn)程序?！?/P>

最新熱點(diǎn)推薦：

微軟升級(jí)Windows Live2011多組件更新

QQ輸入法for iPhone 2.0新版更新發(fā)布