Microsoft a publié une mise à jour de sécurité d’urgence pour bloquer une voie d’attaque vue pour la première fois dans « Flamme», une souche de malware sophistiquée récemment découverte qui, selon les experts, a été conçue pour voler des données spécifiquement à partir d’ordinateurs en Iran et au Moyen-Orient.
Selon Microsoft, Flame essaie de se fondre dans les applications Microsoft légitimes en se cachant avec un ancien algorithme de cryptographie que Microsoft utilisait pour signer numériquement les programmes.
« Plus précisément, notre service de licences Terminal Server, qui permettait aux clients d’autoriser les services de bureau à distance dans leur entreprise, utilisait cet algorithme plus ancien et fournissait des certificats avec la possibilité de signer du code, permettant ainsi au code d’être signé comme s’il provenait de Microsoft », société a déclaré dans une publication de blog aujourd’hui.
Mike Reaveydirecteur principal du Microsoft Security Response Center, a déclaré que Microsoft n’était pas si préoccupé par Flame, qui est désormais bien détecté (finalement) par des programmes antivirus et semble s’être propagé à un très petit nombre de systèmes sélectionnés. Au contraire, l’entreprise craint que d’autres attaquants et logiciels malveillants n’utilisent la même méthode pour faciliter les attaques de phishing et d’autres stratagèmes qui se font passer pour Microsoft afin de gagner la confiance des utilisateurs.
le mettre à jour publié cette semaine (KB2718704) bloque les logiciels signés par ces certificats Terminal Server License Service. Des mises à jour sont disponibles pour pratiquement toutes les versions prises en charge de Microsoft Windows. Le correctif est actuellement diffusé via Windows Update et la mise à jour automatique.