Hackerii compromite serverul Adobe, folosesc-l pentru a semna digital fișiere rău intenționate

Adobe intenționează să revoce un certificat de semnare a codului după ce hackerii au compromis unul dintre serverele interne ale companiei și l-au folosit pentru a semna digital două utilități rău intenționate. Am primit utilitățile rău intenționate în seara târzie de 12 septembrie dintr-o singură sursă izolată (fără nume) ", a declarat Joe Wiebke Lips, senior manager de comunicații corporative la Adobe, prin email. "Imediat ce a fost confirmată validitatea semnăturilor, am inițiat imediat pași pentru dezactivarea și revocarea certificatului utilizat pentru generarea semnăturilor."

Una dintre utilitățile rău intenționate a fost o copie semnată digital a Pwdump7 versiunea 7.1, Instrumentul de extragere a parolei pentru contul Windows care include și o copie semnată a libeay32.dll bibliotecii OpenSSL.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

Al doilea utilitar a fost un filtru ISAPI numit myGeeksmail.dll. Filtrele ISAPI pot fi instalate în serverele IIS sau Apache pentru Windows Web pentru a intercepta și modifica fluxurile Cele două unelte necinstite ar putea fi utilizate pe o mașină după ce au fost compromise și probabil ar trece printr-o scanare de către software-ul de securitate semnăturile digitale ar părea legitime de la Adobe

"Unele soluții antivirus nu scanează fișiere semnate cu certificate digitale valabile provenind de la creatori de software de încredere, cum ar fi Microsoft sau Adobe", a declarat Bogdan Botezatu, senior analyst at e-threat at antivirus furnizor BitDefender. "Acest lucru ar oferi atacatorilor un avantaj imens: Chiar dacă aceste fișiere au fost detectate euristic de AV instalat local, acestea ar fi ignorate în mod implicit de la scanare, ceea ce sporește dramatic șansele atacatorilor de a exploata sistemul."

Brad Arkin, Directorul senior de securitate al produselor și serviciilor Adobe, a scris într-un articol de blog că probele de coduri necinstite au fost partajate cu Microsoft Active Protection Program (MAPP), astfel încât furnizorii de securitate le pot detecta. Adobe crede că "marea majoritate a utilizatorilor nu sunt expuși riscului", deoarece unelte precum cele care au fost semnate sunt utilizate în mod normal în timpul atacurilor "foarte bine direcționate", nu pe cele răspândite, a scris el. probele primite ca malware și continuăm să monitorizăm distribuția lor geografică ", a spus Botezatu. BitDefender este unul dintre furnizorii de securitate înscriși în MAPP.

Cu toate acestea, Botezatu nu a putut spune dacă vreunul dintre aceste fișiere a fost detectat în mod activ pe computerele protejate de produsele companiei. "Este prea devreme să spunem și încă nu avem date suficiente", a spus el.

"În momentul de față, am semnalat toate eșantioanele recepționate ca fiind rău intenționate și continuăm să monitorizăm distribuția lor geografică", a spus Botezatu.

Adobe a urmărit compromisul unui "server de construire" intern care avea acces la infrastructura de semnare a codurilor. "Ancheta noastră este în curs de desfășurare, dar în acest moment se pare că serverul de dezvoltare afectat a fost compromis la sfârșitul lunii iulie", a spus Lips.

"Până în prezent am identificat malware pe serverul de construcție și mecanismul probabil folosit obțineți primul acces la serverul de construcție ", a declarat Arkin. "Avem, de asemenea, dovezi medico-legale care leagă serverul de construire de semnarea utilităților rău intenționate."

Configurația serverului de configurare nu era conform standardelor corporatiste ale Adobe pentru un server de acest tip, a spus Arkin. "Investigăm de ce procesul nostru de furnizare a accesului la coduri de acces în acest caz nu a reușit să identifice aceste deficiențe."

Certificatul de semnare a codului a fost utilizat de VeriSign pe 14 decembrie 2010 și este programat să fie revocat la Adobe pe 4 octombrie. Această operațiune va afecta produsele software Adobe care au fost semnate după 10 iulie 2012.

"Acest lucru afectează numai software-ul Adobe semnat cu certificatul afectat, care rulează pe platforma Windows și trei aplicații Adobe AIR care rulează atât pe Windows cât și pe Macintosh", a declarat Arkin.

Adobe a publicat o pagină de ajutor care afișează produsele afectate și conține link-uri către versiuni actualizate semnate cu un nou certificat

Symantec, care deține și administrează în prezent autoritatea de certificare VeriSign, a subliniat faptul că certificatul de semnare a codurilor a fost în totalitate sub controlul Adobe

"Niciunul dintre certificatele Symantec au fost în pericol ", a declarat Symantec joi într-o declarație prin e-mail. "Acest lucru nu a fost un compromis al certificatelor, rețelelor sau infrastructurii de semnare a codurilor Symantec."

Adobe a dezafectat infrastructura de semnare a codului și a înlocuit-o cu un serviciu interimar de semnare care necesită verificarea manuală a fișierelor înainte de a fi semnat. "Suntem în curs de proiectare și implementare a unei noi soluții permanente de semnare."

"Este greu de determinat implicațiile acestui incident, deoarece nu putem fi siguri că doar eșantioanele partajate au fost semnate fără autorizație" Botezatu a spus. "Dacă aplicația de parcurgere a parolei și biblioteca SSL open-source sunt relativ inofensive, filtrul neregulat ISAPI poate fi folosit pentru atacurile personale - atacuri tipice care manipulează traficul de la utilizator la server și invers, printre altele, "a spus el.