Oggi Microsoft ha rilasciato un aggiornamento fuori banda per revocare alcuni certificati utilizzati da Flame.
Gli aggiornamenti fuori banda sono quelli rilasciati generalmente per ragioni di emergenza al di fuori dell’appuntamento mensile del patch tuesday.
Uno degli attacchi che tenta il malware è un man in the middle su Microsoft Update; se l’attacco riesce, viene copiato sul PC della vittima un file WUSETUPV.EXE, che sembra essere firmato da Microsoft, ma non lo è realmente.
I creatori di Flame hanno scoperto un sistema per sfruttare un baco del sistema che viene usato per creare i certificati per attivare le licenze di Terminal Services; le chiavi utilizzate per questo scopo possono essere utilizzate anche per firmare i programmi eseguibili.
Questa patch rimuove due certificati “Microsoft Enforced Licensing Intermediate PCA” e un certificato “Microsoft Enforced Licensing Registration Authority CA (SHA1)”.
Dal momento che un PC compromesso da Flame potrebbe non essere più affidabile nelle funzioni di auto aggiornamento, è anche possibile rimuovere a mano i certificati in maniera interattiva oppure da command line utilizzando certutil. Ad esempio, uno dei tre certificati può essere rimosso dando il comando
certutil -delstore authroot "2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70"
dove la sequenza esadecimale rappresenta il thumbprint del certificato. Gli altri thumbprint sono “3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08” e “fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97”. (via F-secure, ISC)
Lascia un commento