Flame, il malware che sta facendo molto parlare di sé in queste ultime settimane, è considerato uno più pericolosi mai realizzati, addirittura più di Stuxnet e Duqu. Secondo gli esperti di Kaspersky Lab, che hanno scoperto questa minaccia informatica, non si tratta di un virus generico, ma di un sofisticato strumento di spionaggio creato allo scopo di raccogliere dal computer infetto dati sensibili in tutti i modi possibili, catturando ad esempio screenshot, sniffando il traffico di rete, effettuando registrazioni audio con la Webcam, ecc.

Anche Microsoft ha deciso di indagare su Flame e di analizzare il malware al fine di limitarne il più possibile la diffusione. Dal momento che Flame viene utilizzato per attacchi mirati, la maggior parte degli utenti non sono a rischio, anche perché la maggior parte degli attuali software antivirus sono in grado di rilevarlo e rimuoverlo.

I ricercatori dell'azienda di Redmond hanno comunque effettuato le proprie analisi su Flame e hanno scoperto che alcuni componenti del malware sono firmati da certificati che consentono al malware di farsi identificare come se fosse stato rilasciato da Microsoft. Ciò, rilevano i ricercatori, è causato un algoritmo di crittografia debole utilizzato dai malintenzionati per generare certificati utili alla diffusione del virus, ovvero il Terminal Server Licensing Service, componente che consente agli utenti di autorizzare servizi Remote Desktop.

A tal proposito Microsoft ha comunicato di aver pubblicato un Security Advisory (2718704) che documenta come gli utenti possono bloccare il software firmato da questi certificati non autorizzati. L’azienda inoltre ha rilasciato un update di sicurezza che protegge automaticamente gli utenti e ha modificato il Terminal Server Licensing Server in modo che non possa più essere sfruttato per produrre certificati “fasulli”.