Dans un billet posté hier sur son blog sécurité, Microsoft a révélé que le malware Flame avait notamment utilisé un faux certificat Microsoft pour se diffuser sur certains postes. L’éditeur a posté un correctif car cette possibilité pourrait être utilisée par d’autres virus.
L’information est confirmée par un billet du CERTA affirmant l’utilisation frauduleuse de certificats Microsoft. Securlist fait un point sur les serveurs de centraux de commande du malware éparpillés dans le monde entier à cette adresse.
La guerre continue à faire rage entre ceux qui suivent Kaspersky dans son affirmation que Flame est bien un programme malveillant très sophistiqué et d’autres qui le dénigrent et considèrent que l’éditeur russe a surtout cherché un maximum de publicité pour quelque chose de finalement pas bien méchant et beaucoup moins « intelligent » que supposé. Les révélations de Microsoft vont certainement apporter de l’eau au moulin des premiers cités. L’éditeur vient en effet de publier que l’utilisation d’un faux certificat Microsoft, en l’occurrence celui associé à l’application Terminal Server constituait l’un des moyens pour Flame de ne pas être catalogué dans les programmes douteux par les différents anti-virus.
« Nous avons découvert au travers de nos recherches que certains composants de ce malware avaient été signés par des certificats qui permettent au logiciel d’apparaître comme s’il avait été produit par Microsoft », est-il écrit sur le blog sécurité de l’éditeur. « Nous avons identifié qu’un vieil algorithme de chiffrement pouvait être exploité et utilisé pour signer le code comme s’il était d’origine Microsoft. Plus spécifiquement, notre application Terminal Server, qui permet aux client d’utiliser des postes de travail distants dans leur entreprise, utilisaient ce vieil algorithme et fournissait des certificats avec la possibilité de signer le code, comme s’il provenait de Microsoft ».
Les informations détaillées sont disponibles à cette adresse. Ce nouvel exemple indique que Flame est bien un logiciel très sophistiqué qui exploite au moins une faille zéro day et présente donc de sérieux critères de dangerosité même si sa propagation s’est avérée très limitée. Aujourd’hui, les principaux fabricants d’anti-virus ont annoncé une mise à jour de leurs bases de signatures permettant de détecter Flame. D’autres logiciels utilisant la faille Microsoft seront donc également bloqués.
Source : L’Informaticien
Les commentaires sont fermés.