Un petit peu de nouveau avec le spyworm Flame. Certains de ses composants ont été signés à l'aide de faux certificats Microsoft selon une enquête récente menée par Microsoft même. Ces certificats numériques non autorisés ont permis aux développeurs de Flame de créer un malware apparaissant comme créé et approuvé par Microsoft. La société a déjà publié un correctif d'urgence via Windows Update pour bloquer les certificats utilisés par Flame.
Mike Reavey, directeur principal du Microsoft's Security Response Center (MSRC), dit que le code malveillant a été signé en utilisant le Terminal Server Licensing Service de la société qui est utilisé par des entreprises clientes pour autoriser le Remote Desktop. Reavey ne fournit pas de détails spécifiques sur la façon dont les développeurs de Flame ont pu signer leur code avec ces certificats mais il dit que cela a quelque chose à voir avec l'exploitation d'une faille dans un "vieil algorithme cryptographique".
Cela pourrait signifier que l'autorité de certification de Microsoft utilisait l'algorithme MD5 qui est, comme vous le savez probablement, considéré comme peu sûr. En utilisant ce que l'on appelle des hash collisions, un pirate peut créer un faux certificat qui a le même hash MD5 que le certificat officiel de Microsoft. Le pirate peut alors utiliser leur deuxième certificat pour signer le code qui sera accepté comme venant de Microsoft en raison de la valeur du hachage. Reavey a d'ailleurs ajouté : "The Terminal Server Licensing Service no longer issues certificates that allow code to be signed".
Au total, trois certificats sont affectés. Il s'agit notamment de deux certidicats "Microsoft Enforced Licensing Intermediate PCA" délivrés par l'autorité racine de Microsoft (Microsoft Root Authority) et un certificat "Microsoft Enforced Licensing Registration Authority CA (SHA1)" provenant de"Microsoft Root Certificate Authority". Tout ça pour dire qu'il était vraiment important de faire une correction et c'est pour cela que Microsoft a sorti un patch pour toutes les versions supportées de Windows qui ne fait qu'une centaine de Ko. A vos majs!