Experts hebben geschrokken gereageerd dat Microsoft voor Windows Update geen aparte certificaten gebruikte, waardoor het Flame-virus zich uiteindelijk wist te verspreiden. De aanvallers achter het geavanceerde spionagevirus wisten via de Terminal Server Licensing Service en een collission-aanval een certificaat te genereren waardoor het Flame-virus van Microsoft afkomstig leek.
De aanvallers konden zo binnen een netwerk het Flame-virus verspreiden door het als een update voor Windows Update aan te bieden. Windows Update installeert alleen software met een geldig Microsoft-certificaat, waar Flame over beschikte.
"Windows Update had een geheel andere certificaat stream dan de rest moeten gebruiken", zegt Andrew Storms van beveiligingsbedrijf nCircle. "Het is gewoon veel te belangrijk om met een andere certificaatketen verbonden te zijn. Voor alles wat Microsoft heeft gedaan om de beveiliging te verbeteren, ben ik behoorlijk verrast dat ze dit niet als aanvalsvector hebben beschouwd."
Update
Microsoft kondigde aan dat het aanpassingen aan Windows Update gaat doorvoeren om herhaling te voorkomen, maar volgens Storms is dat niet voldoende. "Het Windows Update team moet in meer detail uitleggen wat ze gaan doen om het probleem op te lossen. Tot dan denk ik dat veel mensen wel twee keer zullen nadenken over de veiligheid van Windows Update."
Experts zijn wel te spreken over het snelle handelen van Microsoft met het uitbrengen van de noodpatch die het door Flame gebruikte certificaat intrekt. "Je kunt goed zien aan wat Microsoft heeft gedaan dat ze dat dit zeer belangrijk vinden", zegt Wolfgang Kandek van Qualys. "Ze hebben de patch op zondag uitgebracht, ook al is patchdinsdag amper een week verwijderd."
Deze posting is gelocked. Reageren is niet meer mogelijk.