Flame è considerato uno più pericolosi virus mai realizzati e secondo gli esperti dei Kaspersky Labs non si tratta di un malware generico, ma di un sofisticato strumento di spionaggio creato allo scopo di raccogliere dal computer infetto dati sensibili attraverso screenshot, sniffando il traffico di rete, effettuando registrazioni audio con la Webcam, ecc. Anche Microsoft ha deciso di indagare su Flame e di analizzare il malware al fine di limitarne il più possibile la diffusione.
Con un post sul blog aziendale, il team di Redmond ha spiegato di aver scoperto che alcuni componenti sono firmati da certificati che permettono, a Flame, di essere identificato come se fosse rilasciato da Microsoft. "Siamo venuti a conoscenza del malware 'Flame' e abbiamo immediatamente cominciato le analisi di questo malware. Come riportato in diversi articoli, Flame è stato usato in attacchi mirati ed altamente sofisticati e, di conseguenza, la maggior parte degli utenti non sono a rischio", si legge sul post.
"Inoltre, la maggioranza dei software antivirus forniscono protezioni capaci di identificare e rimuovere il malware. Detto ciò, la nostra analisi ha evidenziato alcune tecniche usate da questo malware che possono essere sfruttate anche in attacchi più ampi e meno sofisticati". Microsoft ha rilevato che un "algoritmo di crittografia debole può essere utilizzato per generare certificati per firmare eseguibili.
Nello specifico, il Terminal Server Licensing Service, che permette gli utenti di autorizzare servizi Remote Desktop, usava certificati con questo algoritmo. Per mitigare questo rischio Microsoft ha deciso di rilasciare un Security Advisory che documenta come gli utenti possono bloccare software firmato da questi certificati non autorizzati e ha rilasciato un aggiornamento che protegge automaticamente gli utenti di Windows.
Il Terminal Server Licensing Server non produce più certificati che permettono code signing. In tal modo i componenti del malware che utilizzano questo metodo non appaiano firmati da Microsoft. Microsoft consiglia di applicare immediatamente l'aggiornamento utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità degli aggiornamenti tramite il servizio Microsoft Update. Per maggiori informazioni tecniche, fare riferimento a questo SRD blog.
Nessun commento:
Posta un commento