Flame è da più parti indicato come uno dei malware più complessi e potenzialmente dannosi individuati, e pare ormai confermato che dietro tale codice non ci sia una struttura criminale ma un livello superiore come un ente governativo.
Italian Microsoft Security News di TechNet continua a seguire in dettaglio la vicenda e nelle scorse ore Gerardo Di Giacomo, Security Program Manager Microsoft, ha pubblicato un nuovo post che aggiunge dettagli in merito all'operato della casa di Redmond.
Per attaccare i sistemi che utilizzano Windows Vista e versioni più recenti, un attacker avrebbe dovuto ottenere un certificato, ora invalido, del Terminal Server Licensing Service ed effettuare un sofisticato attacco MD5 hash collision. Su sistemi antecedenti a Vista, è possibile effettuare l'attacco senza hash collision. In entrambi i casi, ovviamente, un attacker deve far eseguire al sistema vittima il software firmato. Questo è possibile se la vittima riceve, tramite gli aggiornamenti automatici, il file firmato, dato che la firma utilizzata era considerata valida.Windows Update può essere impersonificato solo con un certificato non autorizzato in combinazione con un attacco Man in the Middle. Per risolvere questo problema, stiamo prendendo provvedimenti per rendere più sicuro Windows Update.
Microsoft aveva anche già provveduto a invalidare l'intera gerarchia di certificati appartenente al sistema di licenze di Terminal Server, non solo quelli potenzialmente utilizzati da Flame. Un ulteriore livello di approfondimento è disponibile a questo indirizzo.
0 commenti:
Posta un commento