De technieken die het Flame-virus gebruikt zijn ook door minder ervaren aanvallers toe te passen, waardoor meer wijdverbreide aanvallen mogelijk zijn. Daarvoor waarschuwt Microsoft na de ontdekking dat het Flame-virus zich met een certificaat van Microsoft signeerde. De kwetsbaarheid bevond zich in de Microsoft Terminal Services (of Remote Desktop Protocol).
Via deze dienst kunnen clients toegang tot Windows applicaties of een volledige Windows desktop krijgen. Microsoft biedt een licentiemanagementsysteem voor Terminal Services aan. Via de Licensing Server krijgen clients een licentie om verbinding te mogen maken. Bedrijven kunnen op deze manier de licenties van clients binnen hun omgeving administreren en handhaven.
Code
De certificaten die de Terminal Services licensing certification authority uitgeeft, zijn ook voor het signeren van code te gebruiken. Daardoor lijkt het alsof de code door Microsoft is gesigneerd. Met name als een zakelijke klant een Terminal Services activatielicentie vraagt, maakt het certificaat dat Microsoft als antwoord uitgeeft het mogelijk om code te signeren, waarbij Microsoft’s interne PKI infrastructuur wordt omzeild.
Na ontdekking van het probleem besloot Microsoft het vertrouwen in de "Microsoft Enforced Licensing Intermediate PCA" en "Microsoft Enforced Licensing Registration Authority CA" in te trekken.
Mindere goden
Volgens Jonathan Ness van het Microsoft Security Response Center, blijkt uit onderzoek dat sommige technieken die Flame gebruikt ook door minder geraffineerde aanvallers te gebruiken zijn om wijdverspreide aanvallen uit te voeren.
"Om zowel gerichte klanten als die mogelijk in de toekomst risico lopen te beschermen, delen we onze ontdekkingen en nemen we maatregelen om het risico voor klanten te beperken", aldus Ness.
Deze posting is gelocked. Reageren is niet meer mogelijk.