Sprawa wyszła na jaw w niedzielę, gdy Microsoft niespodziewanie udostępnił aktualizację dla wszystkich wersji Windows (z wyjątkiem udostępnionego kilka dni wcześniej wydania testowego Windows 8 - błąd dotyczy również jego i stosowna poprawka pojawi się wkrótce). Zadaniem poprawki było zablokowanie trzech cyfrowych certyfikatów, wykorzystywanych przez Microsoft.

Jak napisał w blogu Technetu Mike Reavey, Terminal Services Licensing Service korzystała z certyfikatów, które były wykorzystywane do autoryzowania usługi RDP, a które pozwoliły na podpisanie złośliwego kodu tak by był rozpoznawany jako pochodzący z Microsoftu.

Zobacz również:

• Najnowsza aktualizacja Windows wpływa na działanie VPN

W tego eksploitu skorzystali autorzy słynnego programu szpiegowskiego Flame - analizy wykazały, że przedstawiał się on autentycznym cyfrowym certyfikatem.

Przypomnijmy - Flame uważany jest za najbardziej złożony i zaawansowany program szpiegowski w historii. Ktoś (na razie nie wiadomo kto, aczkolwiek wśród głównych podejrzanych tradycyjnie wymienia się USA oraz Izrael) wykorzystał ów program do infiltrowania irańskich systemów informatycznych.

Analizy przeprowadzone przez ekspertów ds. bezpieczeństwa wykazały, że Flame charakteryzował się wysoką skutecznością - o jego jakości najlepiej świadczy fakt, iż przez co najmniej pięć lat działalności pozostawał niewykryty. Jednym z powodów mogło być właśnie przedstawianie się programu autentycznymi certyfikatami Microsoftu.

"Flame korzystał z poprawnych - aczkolwiek podrobionych - certyfikatów, które wystawiano wykorzystując błędy w oprogramowaniu Microsoftu. Każde sprawdzenie takiego kodu skutkowało potwierdzeniem, że jest on autentyczny, zaś sygnowane nim oprogramowanie - godne zaufania" - tłumaczy Andrew Storms, dyrektor działu bezpieczeństwa firmy nCircle Security.

Natychmiast po wykryciu tego faktu Microsoft zablokował feralne certyfikaty i usunął błąd pozwalający na podpisywanie nimi nieautoryzowanego kodu (koncern zapewnia, że w żaden sposób nie wpłynie to na proces wystawiania "legalnych" certyfikatów - użytkownicy nie powinni zauważyć żadnych niedogodności).

Przedstawiciele firmy nie ujawnili na razie, który komponent Flame'a był podpisany sfałszowanym certyfikatem - ale specjaliści z fińskiej firmy F-Secure twierdzą, że zdołali zidentyfikować ów moduł. "Flame wyposażony jest w komponent, którego zadaniem jest przeprowadzenie ataku typu man-in-the-middle na mechanizm autoryzacyjny Microsoft Update. Jeśli to się uda, w systemie tworzony jest plik WUSETUPV.EXE - i to właśnie on jest podpisany sfałszowanym certyfikatem Microsoftu" - tłumaczy Mikko Hypponen, szef działu badań F-Secure w firmowym blogu.

Więcej informacji znaleźć można na stronie Microsoftu.