"Na dzień dzisiejszy nie zaobserwowaliśmy żadnych oznak 0-day; jednak, robak jest znany z zainfekowania przez sieć w pełni zaktualizowanych systemów operacyjnych Windows 7, co może wskazywać na obecność 0-day."
Nasze podejrzenia wzrosły, ponieważ te w pełni zaktualizowane systemy operacyjne Windows 7 zostały zainfekowane przez sieć w bardzo podejrzany sposób.
W tej chwili możemy potwierdzić, że za wspomniane infekcje odpowiada specjalny moduł Flame'a zwany "Gadget", a pomaga mu moduł "Munch". UWAGA: Ważne jest, aby zrozumieć, że początkowa infekcja Flamem w dalszym ciągu może postępować poprzez luki zero-day. Moduł "Gadget" jest po prostu wykorzystywany do rozprzestrzeniania Flame'a w sieci z maszyny, która aktualnie jest już zainfekowana szkodnikiem. Moduły "Gadget" i "Munch" implementują interesujący atak man-in-the-middle i stosują go wobec innych komputerów w sieci. Kiedy maszyna próbuje połączyć się z usługą Microsoft Windows Update, atak przekierowuje połączenie na zainfekowany komputer, a do klienta wysyła fałszywą, szkodliwą aktualizację Windows. Fałszywa aktualizacja opisywana jest w następujący sposób:update description="Allows you to display gadgets on your desktop."
displayName="Desktop Gadget Platform" name="WindowsGadgetPlatform">
Przechwycenie zapytania wysyłanego do usługi Windows Update (atak man-in-the-middle) jest przeprowadzane poprzez zaanonsowanie zainfekowanej maszyny jako proxy dla domeny. Jest to realizowane poprzez protokół WPAD. Jednak, aby mogło dojść do infekcji, systemowe proxy komputerów musi być skonfigurowane jako "Auto".
W miarę jak kontynuujemy nasze dochodzenie w sprawie Flame'a, pojawia się coraz więcej szczegółów potwierdzających nasze wstępne stwierdzenie: jest to jeden z najbardziej interesujących i złożonych szkodliwych programów, jakie kiedykolwiek zostały wykryte. Ważna informacja: 4 czerwca 2012 r. firma Microsoft opublikowała szereg postów informacyjnych i wydała aktualizacje dla systemów Windows, które blokują trzy fałszywe certyfikaty używane przez Flame'a. Zalecamy, aby użytkownicy systemów Windows natychmiast zainstalowali te uaktualnienia. Blog Microsoft SRD:http://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx Zalecenie bezpieczeństwa Microsoft 2718704:http://technet.microsoft.com/en-us/security/advisory/2718704 Blog MSRC:http://blogs.technet.com/b/msrc/archive/2012/06/03/microsoft-releases-security-advisory-2718704.aspx