Компания Microsoft опубликовала внеочередной бюллетень безопасности, в котором исправлена критическая уязвимость в службе терминалов (Terminal Services), а сертификаты, которыми были подписаны компоненты Flame, помещены в список "недоверенных".
Как сообщается в блоге компании, при анализе червя оказалось, что его некоторые компоненты были подписаны легитимными сертификатами Microsoft. Как оказалось, терминальная служба содержала сертификат, который мог использоваться не только для защиты удаленного соединения, но и для подписи программного кода. По мнению специалистов компании, причина этого недоразумения обусловлена устаревшим механизмом сертификации, где использовались ранние алгоритмы шифрования.
Стоит отметить, что среди сертификатов было два - Microsoft Enforced Licensing Intermediate PCA (MELI PCA), а также подписи Licensing Registration Authority CA (LRA CA). При этом один из двух сертификатов MELI имел срок действия до февраля 2010 года, а второй сертификат пришел ему на смену и имел срок действия до 2016 года. Третий сертификат LRA CA (SHA1) был выдан в 2010 году и действителен до 2017 года, при этом имел разрешение на использование по всем назначениям.
Использование старого сертификата в коде Flame, о котором ранее упоминалось на Ant-Malware.ru, подтверждает то, что он был создан уже более 2 лет назад и применялся злоумышленниками для слежения за активностью пользователей в странах Западной Азии.
