Flame torna protagonista. A distanza di pochi giorni dalla scoperta del malware che, secondo quanto riferito, sarebbe stato utilizzato per sferrare sofisticati attacchi nei confronti di organizzazioni governative ed aziende medio-orientali (esemplari del virus sono stati individuati in Iran, Israele, Sudan, Siria, Libano, Egitto ed Arabia Saudita; per maggiori informazioni, vi suggeriamo di leggere il nostro articolo “Flame un sofisticato malware ruba informazioni segrete“), Microsoft si è attivata per risolvere alcune problematiche di Windows sulle quali potrebbero far leva gli aggressori informatici. I rischi per la maggior parte degli utenti non deriverebbero tanto da Flame quanto da altri “malware writers” che iniziassero a sfruttare le medesime lacune sulle quali il virus individuato nei giorni scorsi ha potuto far leva.
Gerardo Di Giacomo, Security Program Manager del Microsoft Security Response Center, spiega che “alcuni componenti di Flame sono firmati da certificati che permettono al malware di essere identificato come se fosse rilasciato da Microsoft“. Gli autori dei malware, almeno da circa due o tre anni, stanno ricorrendo all’utilizzo delle firme digitali per evitare la comparsa di molti messaggi d’allerta generalmente esposti dal sistema operativo (ad esempio quelli visualizzati all’atto dell’installazione di un controllo ActiveX in Internet Explorer o prima dell’applicazione di un nuovo driver).
Chi sviluppa malware ricorre sempre più frequentemente alla tecnologia “Authenticode” di Microsoft: essa viene impiegata per firmare un file ed è sfruttata da Windows con l’intento di verificare l’origine di ciascun software. Il problema è che gli utenti tendono a dar fiducia a quei software che dispongono di una firma digitale: i programmi non firmati, infatti, generano solitamente la comparsa di una finestra di dialogo che chiede esplicita conferma prima di procedere all’eventuale installazione. Nelle versioni a 64 bit di Windows Vista e Windows 7 non è proprio possibile avviare l’installazione di un driver sprovvisto della firma digitale.
Coloro che sviluppano malware sfruttano vari espedienti per ottenere firme digitali valide o certificati da utilizzare in abbinamento ai propri software maligni. Come abbiamo più volte sottolineato, è purtroppo sempre più semplice ottenere certificati SSL validi semplicemente fornendo un indirizzo e-mail.
Di Giacomo spiega che un’approfondita analisi del funzionamento di Flame ha permesso di rilevare l’uso di un algoritmo crittografico debole in ambiente Windows che potrebbe essere sfruttato per generare certificati digitali a nome Microsoft utilizzabili poi per firmare eseguibili. “Nello specifico, il Terminal Server Licensing Service, che permette gli utenti di autorizzare servizi Remote Desktop, usava certificati con questo algoritmo“, chiarisce l’esperto Microsoft.
Senza aspettare il secondo martedì del mese, ossia la giornata scelta per il rilascio degli aggiornamenti di sicurezza per Windows e per gli altri pacchetti software targati Microsoft, i tecnici dell’azienda hanno così pubblicato un bollettino “out-of-band“. Installandolo, i componenti malware che utilizzano firme digitali Microsoft acquisite in modo fraudolento non verranno più riconosciuti come software prodotti dall’azienda di Redmond. “Stiamo attivamente continuando l’analisi e, in caso, prenderemo ulteriori provvedimenti per proteggere gli utenti“, conclude Di Giacomo.