Flame: nuovi dettagli e reazioni da Microsoft


Flame è uno dei malware più recentemente individuati che sta catalizzando l’attenzione degli esperti, infatti non ci si trova di fronte all’ennesimo codice sviluppato per azioni di cybercrime generico: Flame viene definito come un vero e proprio strumento di spionaggio. Ci si trova di fronte quindi a un  malware assai complesso e articolato che ha più a che fare con il concetto di “arma informatica” rispetto alle più classiche problematiche a cui siamo abituati. Flame appartiene allo stesso gruppo di minacce in cui da tempo abbiamo inserito Duqu e Stuxnet ma dalle prime indagini pare essere ben più evoluto. Qui alcune informazioni pubblicate nei giorni scorsi.

Anche Microsoft ha da poco emesso un proprio Security Advisory (2718704) nel quale descrive e risolve alcuni problemi direttamente connessi a Flame che la riguardano. Qui di seguito quanto riportato nel blog Italian Microsoft Security News:

Abbiamo scoperto che alcuni componenti di Flame sono firmati da certificati che permettono al malware di essere identificato come se fosse rilasciato da Microsoft. Abbiamo rilevato che un algoritmo di crittografia debole può essere utilizzato per generare certificati per firmare eseguibili. Nello specifico, il Terminal Server Licensing Service, che permette gli utenti di autorizzare servizi Remote Desktop, usava certificati con questo algoritmo.

Per limitare i danni potenziali Microsoft ha rilasciato dettagli e strumenti che permettono di bloccare il software firmato da certificati non autorizzati, mettendo anche a disposizione un update dedicato. Si è poi intervenuti anche su Terminal Server Licensing Server per evitare all’origine il problema. Tutti i dettagli sono disponibili qui.