Software do Windows tinha falha que permitia assinaturas.
Cooperação entre empresas desativou servidores de controle.
A Microsoft lançou uma atualização para o Windows para não reconhecer códigos autenticados com um certificado usado pela empresa no Serviço de Licenciamento do Servidor de Terminal ("Terminal Server Licensing Service"). De acordo com Mike Reavey, diretor do time de segurança da Microsoft, a praga digital Flame, descoberta na semana passada, usou um recurso do software para se passar por um programa autorizado da Microsoft.
Novas informações sobre o Flame também foram publicadas pela fabricante de antivírus Kaspersky Lab. Com o auxílio da GoDaddy e do OpenDNS, os especialistas da Kaspersky conseguiram redirecionar os endereços de controle usados pela praga digital. As informações indicam que, além do Oriente Médio, o Flame também tinha vítimas na Europa, na Ásia e na América do Norte.
Certificado digital autentica o Microsoft
Office Word
Certificado válido
O Windows usa certificados digitais para comprovar a origem de softwares. Componentes do sistema são assinados por um certificado da Microsoft, ao qual apenas a empresa tem acesso. Outras empresas também têm certificados próprios, mas eles precisam ser validados para garantir a identidade. Pragas digitais normalmente não possuem qualquer certificado.
No entanto, a Microsoft revelou que o uso de um "algoritmo criptográfico mais antigo" no Serviço de Licenciamento do Servidor de Terminal, que também usa certificados para autorizar acesso aos serviços de Desktop Remoto, permitiu a assinatura de códigos (programas). A atualização da empresa não permite mais que o certificado do Servidor de Terminal seja válido em softwares.
A informação inicial era de que o Flame não usava nenhum certificado válido, diferente dos vírus Stuxnet e Duqu, que faziam uso de certificados roubados de fabricantes de hardware.
Novas vítimas do Flame
A Kaspersky Lab começou a coletar informações que os computadores infectados pelo Flame estão enviando aos seus servidores de controle. Com a colaboração de empresas registradoras, os endereços foram desativados e, agora, redirecionados para obter novas informações sobre a praga.
De acordo com a fabricante antivírus, "são mais de 80" endereços de comando e controle (C&C). Os mais antigos foram registrados em 2008. Todos os registros foram feitos usando identidades falsas.
A empresa antivírus também informou que o vírus "parece ter um grande interesse" por arquivos AutoCAD, gerados em projetos de engenharia, e documentos do Office e PDF. A companhia afirmou ainda que aparentemente o Windows 7 de 64 bits não é afetado pelo Flame.
Nenhum comentário:
Postar um comentário
deixe aqui seu comentário