Teile des Spionage-Werkzeugs Flame waren mit gültigen Microsoft-Zertifikaten signiert, wie Microsoft bei einer Analyse festgestellt hat. Dadurch konnten die Flame-Entwickler den Eindruck erwecken, es handele sich um legitimen, von Microsoft abgesegneten Code. Das Unternehmen verteilt Notfall-Patches über Windows-Update, die den genutzten Sub-CAs das Vertrauen entziehen.

Die digitalen Signaturen lassen sich auf Zertifikate zurückführen, die Microsoft bei der Aktivierung des Terminal-Services-Lizenzservers an Firmenkunden herausgegeben hat. Wie genau es den Flame-Entwicklern gelang, ihren Code mit einem solchen Zertifikat zu signieren, ließ Microsoft offen. Einziger Anhaltspunkt: Es hat mit "älteren Kryptographie-Algorithmen" zu tun. Dies könnte etwa bedeuten, dass die Microsoft-CA bei dem Signieren der Zertifikate noch den inzwischen als unsicher geltenden MD5-Hash genutzt hat. Durch Hash-Kollisionen kann ein Angreifer so zwei Versionen eines Zertifikats erstellen, die den gleichen MD5-Hash haben; eine für den ursprünglichen Einsatzzweck und eine zum Signieren von Code. Nach Angaben von Microsoft wurde der betroffene Dienst inzwischen abgesichert.

Die Zertifikate wurden offenbar von drei Sub-CAs herausgegeben, die der "Microsoft Root Authority" respektive der "Microsoft Root Certificate Authority" unterstellt sind. Diese CAs befinden sich unter Windows in der Liste der vertrauenswürdigen Herausgeber, weshalb auch die für Flame genutzten Zertifikate vom Betriebssystem als vertrauenswürdig angesehen wurden.

Damit Signaturen mit bereits gefälschten Zertifikaten künftig auffliegen, hat Microsoft Notfall-Patches für alle unterstützen Windows-Versionen (einschließlich Windows Phone) herausgegeben. Die Updates setzen drei Intermediate-Zertifikate auf die Liste der "Nicht vertrauenswürdigen Herausgeber"; zweimal die "Microsoft Enforced Licensing Intermediate PCA" (mit unterschiedlichen Fingerprints) sowie die "Microsoft Enforced Licensing Registration Authority CA". Microsoft rät seinen Kunden, das Update umgehend einzuspielen. Wer manuell handeln muss, findet die Fingerprints der SubCA-Zertifikate im Advisory. (rei)