Microsoft combate Flame com certificado de autenticidade

O malware Flame tem uma ferramenta matadora: ela pode instalar várias cópias de si mesma no PC alvo utilizando a funcionalidade Windows Update embarcada. A culpada é a habilidade da ameaça em fraudar o certificado digital da companhia, assim, ele engana o Windows, que pensa que o arquivi é verdadeiro.

Em resposta, a Microsoft divulgou uma atualização automática na quarta-feira (13/06) – disponível para o Windows Vista, Windows 7, bem como o Windows Server 2008 e Server 2008 R2 – que mantém as abas em uma lista de certificados digitais que podem prejudicar a máquina, incluindo a explorado pelo Flame. “Essa atualização expande a tecnologia raiz existente em mecanismos encontrados no Windows Vista e no Windows 7 para permitir que os certificados que são comprometidos ou são confiáveis??, de alguma forma, sejam  especificamente marcados como não confiável”, de acordo com as respectivas notas de atualização da companhia.

“O objetivo do novo atualizador é permitir atualizações para o armazenamento de certificado não confiável em um dia – ou menos – depois que um novo certificado ruim é descoberto”, afirmou o chefe de pesquisas do Sans Institute, Johannes Ullrich B., em seu blog. “É triste precisarmos disso, mas parece ser necessário ter um método de atualização de certificados ruins”.

Revogar maus certificados digitais é um negócio complicado. Uma abordagem tem sido a de usar uma lista (a CRL), que inclui os números de série de todos os certificados que foram revogados e que não devem mais ser marcados como confiáveis. Além dessa estratégia, a Microsoft também utilizou o Online Certificate Status Protocol (OCSP), que é um protocolo internet usado para definir o status de revogação de um certificado digital X.509.

Mas nem o CRL ou OCSP são perfeitos. “Listas de revogação de chave e OCSP foram concebidas para notificar os clientes de certificados revogados”, disse Ullrich. “No entanto, esses protocolos não têm mostrado a escalabilidade necessária para notificar os clientes de forma confiável.”

Assim, revogar certificados ruins exige que os administradores do Windows ajustem manualmente o Windows Certificate Store não confiável ou a Microsoft teve de fazer atualizações de certificados via Windows Update.

Alguns pequenos ajustes de infra-estruturas podem ser necessários para fazer o trabalho de atualização em ambientes corporativos. Em particular, todos os firewalls que contêm URLs hardcoded para o Windows Update precisarão rever suas configurações para permitir novas CTLs. “Como parte desta atualização, as URLs que são usadas para entrar em contato com o Windows Update não confiáveis ??e as de confiança foram alteradas. Isso pode causar problemas para as empresas que codificam essas URLs em seus firewalls”, observou a  Microsoft.

Saiba mais:

Stuxnet e Flame estão relacionados, diz Kaspersky Lab

Flame deixa de existir

Ministro israelense diz que uso do Flame é justificável

Com código brasileiro, nova ciberarma Flame foi desenvolvida por governo

Kaspersky Lab descobre maior ciberarma de todos os tempos

Ciberarmas são futuro das ameaças

Lista: conheça as cinco principais fontes de ameaças

Vírus Stuxnet e Duqu foram criados em 2007, diz pesquisa

Nova ameaça utiliza Stuxnet como base

Microsoft detalha medida paliativa para o Duqu, sucessor do Stuxnet

Cinco dicas para se defender contra o Duqu