KB2718704と証明書を使ったイランへのサイバー攻撃の関係

今朝、Windows UpdateでKB2718704が配布されました。月一で行われるアップデートのタイミングではないので、緊急性の高いアップデートなのでしょう。ちょっと気になったので調べてみたら、証明書関連のもので、背景にはイランへのサイバー攻撃があるようです。

この件については、Microsoftからはアドバイザリーが公開されています。一部を引用します。

Microsoft is aware of active attacks using unauthorized digital certificates derived from a Microsoft Certificate Authority. An unauthorized certificate could be used to spoof content, perform phishing attacks, or perform man-in-the-middle attacks. This issue affects all supported releases of Microsoft Windows.
Microsoft is providing an update for all supported releases of Microsoft Windows. The update revokes the trust of the following intermediate CA certificates: 

Microsoft Enforced Licensing Intermediate PCA (2 certificates)
Microsoft Enforced Licensing Registration Authority CA (SHA1)

これによると、Microsoftの2つの中間CAから承認していない証明書が発行されてしまったらしいです。で、急いでそれらの中間CAをトラストアンカーから削除するのが今回のアップデートの目的です。

実際にアップデートを適用すると、以下の3つが「信頼されていない証明書」にインポートされます。以下はアップデートを適用後のcertmgrの画面です。

また、今回の問題はこちらで詳しい情報が公開されています。一部を引用します。

When we initially discovered the unauthorized certificates, we immediately began investigating Microsoft’s signing infrastructure to understand how this might be possible. What we found is that certificates issued by our Terminal Services licensing certification authority, which are intended to only be used for license server verification, could also be used to sign code as Microsoft. Specifically, when an enterprise customer requests a Terminal Services activation license, the certificate issued by Microsoft in response to the request allows code signing without accessing Microsoft’s internal PKI infrastructure.

どうやら「Flame」というマルウェアが関連しているそうです。FlameはMicrosoftのプライベートCAである、Terminal Serviceのライセンスを発行するCAからコード署名がされているそうです。

何故このような事が起こったのかの詳細は書かれていませんが、おそらくTerminal Serviceのアクティベーション方法が悪用されたと思われます。以下、リンク先からの引用です。

ターミナル サービス クライアントにライセンスを発行するには、ライセンス サーバーをアクティブ化しなければなりません。ライセンス サーバーをアクティブ化すると、サーバーの所有権と ID が正しいことを証明するデジタル証明書がマイクロソフトから提供されます。ライセンス サーバーは、この証明書を使ってマイクロソフトと所定の手続きを行い、ターミナル サービス サーバーで使用するクライアント ライセンスを受け取ります。

Terminal Service用の証明書の発効はインターネット経由でもできますので、そのプロトコルを模範してマルウェアのコード署名用のCSRを送りつけて、ライセンス用のCAからコード署名用証明書を入手したのかもしれません。

Flameはイランをターゲットにしたウィルスだそうです。ここ数年はPKIが足がかりになったセキュリティホールが増えてきています。PKIで飯を食っている身としては、好ましくないトレンドになりつつあります。