W artykule Flame: Pytania i odpowiedzi postulowaliśmy, że wewnątrz Flame'a może nadal istnieć niewykryta luka zero-day:

"Na dzień dzisiejszy nie zaobserwowaliśmy żadnych oznak 0-day; jednak, robak jest znany z zainfekowania przez sieć w pełni zaktualizowanych systemów operacyjnych Windows 7, co może wskazywać na obecność 0-day."

Nasze podejrzenia wzrosły, ponieważ te w pełni zaktualizowane systemy operacyjne Windows 7 zostały zainfekowane przez sieć w bardzo podejrzany sposób.

W tej chwili możemy potwierdzić, że za wspomniane infekcje odpowiada specjalny moduł Flame'a zwany "Gadget", a pomaga mu moduł "Munch".

UWAGA: Ważne jest, aby zrozumieć, że początkowa infekcja Flamem w dalszym ciągu może postępować poprzez luki zero-day. Moduł "Gadget" jest po prostu wykorzystywany do rozprzestrzeniania Flame'a w sieci z maszyny, która aktualnie jest już zainfekowana szkodnikiem.

Moduły "Gadget" i "Munch" implementują interesujący atak man-in-the-middle i stosują go wobec innych komputerów w sieci.

Kiedy maszyna próbuje połączyć się z usługą Microsoft Windows Update, atak przekierowuje połączenie na zainfekowany komputer, a do klienta wysyła fałszywą, szkodliwą aktualizację Windows.

Fałszywa aktualizacja opisywana jest w następujący sposób:

update description="Allows you to display gadgets on your desktop."
displayName="Desktop Gadget Platform" name="WindowsGadgetPlatform">

W procesie infekowania klienta używanych jest osiem plików CAB. Jeden z nich zawiera specjalny program zwany WuSetupV.exe:

Ten program (wykrywany również jako Worm.Win32.Flame.a), o rozmiarze 28 KB, został podpisany sfałszowanym certyfikatem Microsoftu:

Pozwala to na uruchomienie programu na komputerze ofiary bez żadnego ostrzeżenia.

Downloader modułu "Gadget" został skompilowany 27 grudnia 2010 grudnia. Podpisany został 28 grudnia 2010 roku. Ostatecznie do archiwum CAB trafił 11 stycznia 2011 roku.

Oto jak dokładnie zachodzi proces: zainfekowana maszyna ustanawia fałszywy serwer o nazwie "MSHOME-F3BE293C", który hostuje skrypt dostarczający zawartość szkodnika Flame do atakowanych komputerów. Za proces odpowiedzialny jest moduł o nazwie "Munch".

Kiedy ofiara chce dokonać uaktualnienia za pośrednictwem usługi Windows Update, zapytanie jest przechwytywane i forsowana jest fałszywa aktualizacja. Fałszywa aktualizacja pobiera kod szkodnika i infekuje ofiarę.

"Gadget" pobiera kod Flame'a

Przechwycenie zapytania wysyłanego do usługi Windows Update (atak man-in-the-middle) jest przeprowadzane poprzez zaanonsowanie zainfekowanej maszyny jako proxy dla domeny. Jest to realizowane poprzez protokół WPAD. Jednak, aby mogło dojść do infekcji, systemowe proxy komputerów musi być skonfigurowane jako "Auto".

W miarę jak kontynuujemy nasze dochodzenie w sprawie Flame'a, pojawia się coraz więcej szczegółów potwierdzających nasze wstępne stwierdzenie: jest to jeden z najbardziej interesujących i złożonych szkodliwych programów, jakie kiedykolwiek zostały wykryte.

Ważna informacja: 4 czerwca 2012 r. firma Microsoft opublikowała szereg postów informacyjnych i wydała aktualizacje dla systemów Windows, które blokują trzy fałszywe certyfikaty używane przez Flame'a. Zalecamy, aby użytkownicy systemów Windows natychmiast zainstalowali te uaktualnienia.

Blog Microsoft SRD:http://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx

Zalecenie bezpieczeństwa Microsoft 2718704:http://technet.microsoft.com/en-us/security/advisory/2718704

Blog MSRC:http://blogs.technet.com/b/msrc/archive/2012/06/03/microsoft-releases-security-advisory-2718704.aspx