Il nuovo malware Flame è stato scoperto di recente dai Kaspersky Lab ed è già riuscito ad ottenere un’ampia risonanza mediatica per via della propria pericolosità intrinseca: anche Microsoft è venuta a conoscenza dello stesso e spiega di aver immediatamente iniziato le analisi per comprenderne al meglio la struttura, così da limitarne la diffusione.
Flame viene usato per attacchi mirati ed altamente sofisticati (tanto che c’è chi ne ha ipotizzata una origine governativa, qualcosa di simile a quanto accaduto con Stuxnet), pertanto la maggior parte dell’utenza non è a rischio, anche per via del fatto che la maggioranza degli antivirus distribuiti oggi è in grado di identificarlo e rimuoverlo. A ogni modo, tramite le dovute analisi sul malware, l’azienda di Redmond è riuscita a scoprire alcune componenti dello stesso e annuncia di aver preso alcuni provvedimenti atti a proteggere gli utenti.
Attraverso un aggiornamento condiviso sul blog aziendale, il team di Redmond ha spiegato di aver analizzato parte del malware e di aver scoperto che alcuni componenti sono firmati da certificati che permettono, a Flame, di essere identificato come se fosse rilasciato da Microsoft. Il “colpevole” è un algoritmo di crittografia debole che può essere generato dai malintenzionati per generare certificati utili a diffondere il malware, ovvero il Terminal Server Licensing Service.
L’azienda di Redmond, sulla base di quanto descritto dal Security Program Manager Gerardo Di Giacomo, è intervenuta su tre piani distinti:
- Abbiamo rilasciato un Security Advisory che documenta come gli utenti possono bloccare software firmato da questi certificati non autorizzati.
- Abbiamo rilasciato un aggiornamento che protegge automaticamente gli utenti.
- Il Terminal Server Licensing Server non produce più certificati che permettono code signing.