Microsoft si è attivata per risolvere alcune problematiche di Windows sulle quali potrebbero far leva gli aggressori informatici.
Flame torna protagonista. A distanza di pochi giorni dalla
scoperta del malware che, secondo quanto riferito, sarebbe stato
utilizzato per sferrare sofisticati attacchi nei confronti di
organizzazioni governative ed aziende medio-orientali (esemplari del
virus sono stati individuati in Iran, Israele, Sudan, Siria, Libano,
Egitto ed Arabia Saudita),
Microsoft si è attivata per risolvere alcune problematiche di
Windows sulle quali potrebbero far leva gli aggressori informatici. I
rischi per la maggior parte degli utenti non deriverebbero tanto da Flame
quanto da altri “malware writers” che iniziassero a sfruttare le
medesime lacune sulle quali il virus individuato nei giorni scorsi ha
potuto far leva.
Gerardo Di Giacomo, Security Program Manager del
Microsoft Security Response Center, spiega che “alcuni componenti di Flame sono
firmati da certificati che permettono al malware di essere identificato
come se fosse rilasciato da Microsoft“. Gli autori dei malware,
almeno da circa due o tre anni, stanno ricorrendo all’utilizzo delle
firme digitali per evitare la comparsa di molti messaggi d’allerta
generalmente esposti dal sistema operativo (ad esempio quelli
visualizzati all’atto dell’installazione di un controllo ActiveX in
Internet Explorer o prima dell’applicazione di un nuovo driver).
Chi
sviluppa malware ricorre sempre più frequentemente alla tecnologia
“Authenticode” di Microsoft: essa viene impiegata per firmare un file ed
è sfruttata da Windows con l’intento di verificare l’origine di ciascun
software. Il problema è che gli utenti tendono a dar fiducia a quei
software che dispongono di una firma digitale: i programmi non firmati,
infatti, generano solitamente la comparsa di una finestra di dialogo che
chiede esplicita conferma prima di procedere all’eventuale
installazione. Nelle versioni a 64 bit di Windows Vista e Windows 7 non è
proprio possibile avviare l’installazione di un driver sprovvisto della
firma digitale.
Coloro che sviluppano malware sfruttano vari
espedienti per ottenere firme digitali valide o certificati da
utilizzare in abbinamento ai propri software maligni. Come abbiamo più
volte sottolineato, è purtroppo sempre più semplice ottenere certificati
SSL validi semplicemente fornendo un indirizzo e-mail.
Di
Giacomo spiega che un’approfondita analisi del funzionamento di Flame
ha permesso di rilevare l’uso di un algoritmo crittografico debole in
ambiente Windows che potrebbe essere sfruttato per generare certificati
digitali a nome Microsoft utilizzabili poi per firmare eseguibili. “Nello
specifico, il Terminal Server Licensing Service, che permette gli
utenti di autorizzare servizi Remote Desktop, usava certificati con
questo algoritmo“, chiarisce l’esperto Microsoft.
Senza
aspettare il secondo martedì del mese, ossia la giornata scelta per il
rilascio degli aggiornamenti di sicurezza per Windows e per gli altri
pacchetti software targati Microsoft, i tecnici dell’azienda hanno così
pubblicato un bollettino “out-of-band“. Installandolo, i
componenti malware che utilizzano firme digitali Microsoft acquisite in
modo fraudolento non verranno più riconosciuti come software prodotti
dall’azienda di Redmond. “Stiamo attivamente continuando l’analisi e,
in caso, prenderemo ulteriori provvedimenti per proteggere gli utenti“,
conclude Di Giacomo.
