微軟撤銷被Flame惡意軟件工具包的作者所利用的欺詐證書，這些證書被用于欺騙受害者相信軟件來源于該軟件巨人。微軟發布的補丁涉及所有版本的Windows系統。

人們認為，Flame惡意軟件工具包幕后的攻擊者牽涉到由某個國家級別資助的電子間諜活動。該惡意軟件通過使用由微軟發布的欺詐證書，能夠偽造內容、進行釣魚攻擊和中間人攻擊。

微軟安全響應中心的高級主任Mike Reavey表示，這些欺詐證書是在調查能讓Flame惡意軟件傳播所利用的漏洞時發現的。Flame惡意軟件感染了伊朗境內200臺以內的Windows系統，以及其它中東和北非國家更少的一些機器。

“我們的調查已經發現該惡意軟件利用的一些技術也可能被不太老練的攻擊者用來啟動更為廣泛的攻擊，”Reavey在一篇關于微軟的Flame惡意軟件公告的博客中寫到。“通過分析我們發現，該惡意軟件的一些組件已經被證書簽名，讓該軟件看起來似乎是由微軟開發的。”

微軟：某個第三方CA發布帶有弱密碼的證書

通過周日發布的CA公告，微軟解決了這些欺詐數字證書的問題。根據該公告內容，這些欺詐證書被用于主動式的攻擊中。微軟的工程師也判定“某個第三方CA肯定發布了帶有弱密碼的證書”，微軟在它的公告中表示。

微軟更新所有受到影響支持版本的Windows產品。它撤銷了下述證書：兩個Microsoft Enforced Licensing Intermediate PCA 證書以及一個Microsoft Enforced Licensing Registration Authority。這些欺詐證書也讓Windows移動設備的用戶處于風險中，但是周日發布的補丁沒有對智能手機的更新文件。

該問題來源于微軟的終端服務器授權服務，它允許顧客們在企業中授權遠程桌面服務。Reavey表示該服務使用了一種較為古老的加密算法，提供的證書能對代碼進行簽名。

對于周一發布的更新補丁，Reavis表示攻擊者似乎使用了密碼學中的碰撞攻擊(collision attack)來攻擊該微弱的加密算法。加密碰撞理論由研究人員在2005年針對MD5算法提出。SHA-1和MD5算法被認為容易遭到該技術攻擊。在大多數的應用中它們被SHA-2哈希算法所替換。

一旦應用這些補丁文件后，它們會阻止被非授權證書簽名的軟件。此外，Reavey表示微軟不會再發布允許代碼簽名的證書，來作為終端服務器授權服務的一部分。

上個月Flame惡意軟件工具包浮出水面，當時卡巴斯基實驗室向公眾公布對該威脅的分析。這家位于俄羅斯的防病毒廠商表示Flame“可能是被發布的最為尖端的電子武器”。其它安全專家不同意該說法，表示這個有20M大小的惡意軟件，只不過是其它木馬軟件通常使用的一些攻擊工具的集合。