Microsoft was bang dat meer partijen Windows Update zouden gebruiken om computers met malware te infecteren, net zoals het geavanceerde Flame-virus deed. Flame werd vorig jaar mei ontdekt en zou door de Amerikaanse overheid zijn ontwikkeld. Flame gebruikte geen beveiligingslek in Windows of andere applicaties om computers te infecteren, maar Windows Update.

Eenmaal actief op het netwerk van het slachtoffer nam Flame een man-in-the-middle positie in. Zodra de nog niet besmette computers met Windows Update verbinding probeerden te maken, maakten ze verbinding met de al met Flame besmette machine. Die stuurde vervolgens valse Windows Update naar de computers

Het ging hier in werkelijkheid om malware die van een legitiem Microsoft certificaat was voorzien. Daardoor dacht Windows dat het om legitieme updates van Microsoft zelf ging en installeerde de malware via Windows Update.

Copy-cat
Toen Microsoft de certificaat-aanval ontdekte, hadden engineers van de softwaregigant ingeschat dat andere partijen ongeveer 12 dagen nodig hadden om de aanval te herhalen. Microsoft besloot een aantal tests uit te voeren die 'copycat aanvallers' zouden moeten volgen en ontdekte toen dat de Windows Update-aanval binnen drie dagen was uit te voeren.

"Toen stapten we over op plan B", aldus Mike Reavey van het Microsoft Security Response Center tegenover Wired. Hij benadrukt hoe weinig tijd Microsoft had om het probleem op te lossen voordat anderen het zouden ontdekken en misbruiken. Flame was gebruikt tegen doelwitten in Iran, Libanon, Syrië, Soedan en Israël.

Op 3 juni rolde Microsoft verschillende updates uit en trok de door de aanvallers gebruikte certificaten voor het signeren van de malware, alsmede de certificate authority waaronder het certificaat was uitgegeven, in.

Ook werd de beveiliging van het Windows Update-kanaal aangescherpt. Daarbij werd ook een feature van Windows 8 voor Windows 7 en Vista beschikbaar gemaakt, waarmee het besturingssysteem elke 24 uur een lijst met vertrouwde certificaten controleert.