Dalle analisi condotte da Microsoft sul malware Flame – la cui abilità nel sottrarre informazioni dai computer infetti è stata evidenziata dagli analisti Kaspersky – è emerso un potenziale rischio per la sicurezza correlato alla capacità di alcuni agenti malevoli di creare certificati non autorizzati.
Secondo Microsoft, infatti, Flame ha un target troppo mirato, e quasi tutti gli antivirus sono oggi in grado di scovarlo ed eliminarlo. Il vero pericolo si annida nella natura particolarmente evoluta dell’attacco.
Alcune componenti di Flame sono firmate da certificati che permettono al malware di poter essere identificato come rilasciato da Microsoft; ciò è reso possibile da un algoritmo di crittografia debole che può essere utilizzato per generare certificati in grado di firmare eseguibili.
Microsoft ha quindi deciso di prendere i dovuti provvedimenti attraverso il rilascio di un Security Advisory che documenta come gli utenti possono bloccare software firmato da questi certificati non autorizzati.
Nel Security Advisory 2718704 sono documentati i passi da intraprendere per essere protetti da attacchi che utilizzano certificati non autorizzati.
E’ stato inoltre aggiornato il Terminal Server Licensing Server, che permette gli utenti di autorizzare servizi Remote Desktop, in modo da non produrre più certificati “fasulli”.
Inoltre ha rilasciato un aggiornamento in grado di proteggere gli utenti in automatico. Microsoft raccomanda l’update, poiché «rimuovere il trust a questi certificati non autorizzati è il primo passo per essere certi che questi non vengano utilizzati per attaccare sistemi Windows».