Italian Microsoft Security News

Fatti e notizie dal Microsoft Security Response Center

Rilasciato il Security Advisory 2718704

Rilasciato il Security Advisory 2718704

  • Comments 2
  • Likes

Siamo venuti a conoscenza del malware "Flame" e abbiamo immediatamente cominciato le analisi di questo malware. Come riportato in diversi articoli, Flame è stato usato in attacchi mirati ed altamente sofisticati e, di conseguenza, la maggior parte degli utenti non sono a rischio. Inoltre, la maggioranza dei software antivirus forniscono protezioni capaci di identificare e rimuovere il malware. Detto ciò, la nostra analisi ha evidenziato alcune tecniche usate da questo malware che possono essere sfruttate anche in attacchi più ampi e meno sofisticati. Per proteggere gli utenti abbiamo deciso di condividere le nostre analisi e prendere provvedimenti per mitigare il rischio.

Abbiamo scoperto che alcuni componenti di Flame sono firmati da certificati che permettono al malware di essere identificato come se fosse rilasciato da Microsoft. Abbiamo rilevato che un algoritmo di crittografia debole può essere utilizzato per generare certificati per firmare eseguibili. Nello specifico, il Terminal Server Licensing Service, che permette gli utenti di autorizzare servizi Remote Desktop, usava certificati con questo algoritmo.

Per mitigare questo rischio abbiamo deciso di prendere i seguenti provvedimenti:

  • Abbiamo rilasciato un Security Advisory che documenta come gli utenti possono bloccare software firmato da questi certificati non autorizzati.
  • Abbiamo rilasciato un aggiornamento che protegge automaticamente gli utenti.
  • Il Terminal Server Licensing Server non produce più certificati che permettono code signing.

Questi provvedimenti fanno sì che i componenti del malware che utilizzano questo metodo non appaiano firmati da Microsoft. Stiamo attivamente continuando l'analisi e, in caso, prenderemo ulteriori provvedimenti per proteggere gli utenti.

Per maggiori informazioni tecniche, fare riferimento a questo SRD blog.

Rimango a disposizione per ulteriori domande o chiarimenti.

Gerardo Di Giacomo
Security Program Manager - MSRC

Comments
  • Ottimo.

  • @Massimo: grazie :)

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment