Nadat Microsoft vorige week te kennen gaf dat de Windows Server Update Services (WSUS), het platform dat Microsoft gebruikt om updates bij grote bedrijven te leveren, misbruikt werd door het Flame-supervirus, ondernam de softwaregigant actie door eigen certificaten te schrappen.
Microsoft probeert de virusaanvallen nu volledig in de kiem te smoren en heeft vrijdag opnieuw een noodpatch uitgebracht. Deze patch moet voorkomen dat Flame misbruik maakt van het systeem waarmee Windows-updates worden verspreid naar pc’s. Flame gebruikte vervalste certificaten, ondertekend door Microsoft en kon zich zo ongezien nestelen op verschillende pc’s binnen een lokaal netwerk, en alle systemen infecteren met spionagemalware.
De patch, die vier dagen eerder dan normaal door Microsoft werd uitgebracht, moet de ‘communicatiekanalen’ van WSUS beter beveiligen. Zo worden na de patch alleen nog bestanden vertrouwd die met de ‘Microsoft Update certification authority’ zijn getekend. Als extra veiligheidsmaatregel heeft Microsoft SHA-1- en SHA-2-hash fingerprints gemaakt van de nieuwste patches. Hiermee kan gecontroleerd worden of het bestand ook echt van Microsoft afkomstig is, zo laat het bedrijf op de support-pagina weten.
De Flame-malware is volgens verschillende beveiligingsexperts het meest geavanceerde virus ooit. De onbekende ontwikkelaars van het virus hebben geprobeerd om geïnfecteerde computers te ontdoen van Flame, dat zegt Vikram Thakur, hoofd security response manager bij Symantec. "Ze proberen hun sporen op alle mogelijke manieren te verbergen. Wat erg interessant is, is dat ze het risico namen om een connectie te maken met de servers, welke gemonitord kunnen worden", zo vertelt hij tegenover de LA Times.
Afgelopen week werd er een commando verstuurd dat was ontworpen om Flame van machines te verwijderen welke aan een aantal actieve servers waren verbonden. Hiervan werden de schijven met willekeurige data overschreven om alle sporen van de infectie te verwijderen, zo ondervond Symantec. Het beveiligingsbedrijf kwam hier achter door het gebruik van een zogenaamde ‘honeypot’, een geïnfecteerde computer die contact zoekt met de servers en wacht op commando’s. Het is niet duidelijk hoeveel computers zijn opgeschoond.