Hakerzy naruszają prawa do serwera Adobe, wykorzystują go do cyfrowego podpisywania szkodliwych plików

Adobe planuje unieważnić certyfikat podpisujący kod po tym, jak hakerzy włamali się na jeden z wewnętrznych serwerów firmy i użyli go do cyfrowego podpisania dwóch złośliwych programów.

Otrzymaliśmy szkodliwe narzędzia późnym wieczorem 12 września z jednego, wyizolowanego (nienazwanego) źródła, "Wiebke Lips, starszy menedżer komunikacji korporacyjnej w Adobe, powiedział w czwartek za pośrednictwem poczty elektronicznej. "Natychmiast po potwierdzeniu ważności podpisów natychmiast rozpoczęliśmy kroki mające na celu dezaktywację i odwołanie certyfikatu używanego do generowania podpisów."

Jednym z złośliwych programów narzędziowych była podpisana cyfrowo kopia Pwdump7 w wersji 7.1, publicznie dostępna Narzędzie do wyciągania haseł konta systemu Windows, które zawiera również podpisaną kopię biblioteki libessay.dll OpenSSL.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Drugim narzędziem był filtr ISAPI o nazwie myGeeksmail.dll. Filtry ISAPI można instalować w serwerach IIS lub Apache dla Windows w celu przechwytywania i modyfikowania strumieni

Dwa nieuczciwe narzędzia mogą być używane na komputerze po jego złamaniu i prawdopodobnie przejdą skanowanie przez oprogramowanie zabezpieczające, ponieważ ich podpisy cyfrowe wydają się być zgodne z prawem pochodzącym z Adobe.

"Niektóre rozwiązania antywirusowe nie skanują plików podpisanych za pomocą ważnych certyfikatów cyfrowych pochodzących od wiarygodnych producentów oprogramowania, takich jak Microsoft lub Adobe", powiedział Bogdan Botezatu, starszy analityk ds. zagrożeń e-mail w oprogramowaniu antywirusowym sprzedawca BitDefender. "To dałoby napastnikowi ogromną przewagę: nawet jeśli te pliki zostały wykryte heurystycznie przez lokalnie zainstalowany AV, byłyby domyślnie pomijane ze skanowania, co dramatycznie zwiększa szanse atakujących na wykorzystanie systemu."

Brad Arkin, Starszy dyrektor ds. Zabezpieczeń produktów i usług firmy Adobe, napisał w poście na blogu, że próbki fałszywych kodów zostały udostępnione programowi Microsoft Active Protection (MAPP), aby dostawcy bezpieczeństwa mogli je wykryć. Adobe uważa, że ​​"ogromna większość użytkowników nie jest zagrożona", ponieważ narzędzia takie jak te, które zostały podpisane, są zwykle używane podczas "wysoce ukierunkowanych ataków", które nie są rozpowszechnione, napisał.

"W tej chwili oflagowaliśmy wszystkie otrzymane próbki są szkodliwe, a my nadal monitorujemy ich rozmieszczenie geograficzne "- powiedział Botezatu. BitDefender jest jednym z dostawców zabezpieczeń zapisanych w MAPP.

Jednak Botezatu nie mógł stwierdzić, czy któryś z tych plików został aktywnie wykryty na komputerach chronionych przez produkty firmy. "Jest zbyt wcześnie, aby to stwierdzić, a my nie mamy jeszcze wystarczających danych", powiedział.

"W tej chwili wszystkie pobrane próbki zostały oznaczone jako złośliwe i nadal monitorujemy ich rozmieszczenie geograficzne" - powiedział Botezatu.

Adobe odłożył kompromis na wewnętrzny "serwer kompilacji", który miał dostęp do swojej infrastruktury podpisywania kodu. "Nasze dochodzenie wciąż trwa, ale w tym momencie okazało się, że wpływ na serwer budowania został po raz pierwszy pod koniec lipca", powiedział Lips.

"Do tej pory znaleźliśmy złośliwe oprogramowanie na serwerze kompilacji i prawdopodobny mechanizm użyty do najpierw uzyskaj dostęp do serwera budowania "- powiedział Arkin. "Mamy także dowody sądowe łączące serwer kompilacji z podpisywaniem złośliwych programów narzędziowych."

Konfiguracja serwera kompilacji nie była zgodna z korporacyjnymi standardami Adobe dla tego serwera, powiedział Arkin. "Badamy, dlaczego nasz proces udostępniania dostępu do podpisywania kodu w tym przypadku nie wykrył tych braków."

Nieprawidłowe świadectwo podpisywania kodu zostało wydane przez VeriSign 14 grudnia 2010 r. I ma zostać odwołane w Adobe's 4. października. Ta operacja wpłynie na produkty oprogramowania Adobe, które zostały podpisane po 10 lipca 2012 r.

"Dotyczy to tylko oprogramowania Adobe podpisanego za pomocą certyfikatu, który działa na platformie Windows i trzech aplikacji Adobe AIR działających na systemach Windows i Macintosh", powiedział Arkin.

Firma Adobe opublikowała stronę pomocy zawierającą listę produktów, których dotyczy problem, i zawierająca łącza do zaktualizowanych wersji podpisanych nowym certyfikatem.

Firma Symantec, która obecnie jest właścicielem i zarządza urzędem certyfikacji VeriSign, podkreśliła, że ​​niewłaściwie wykorzystywany certyfikat podpisywania kodu był całkowicie objęty kontrolą Adobe.

"Żadne z certyfikatów podpisujących kod Symantec były zagrożone "- powiedział Symantec w czwartek w e-mailowym oświadczeniu. "To nie był kompromis między certyfikatami, siecią lub infrastrukturą do podpisywania certyfikatów firmy Symantec."

Adobe wycofał swoją infrastrukturę do podpisywania kodu i zastąpił ją usługą podpisywania tymczasowego, która wymaga ręcznego sprawdzania plików przed podpisaniem, powiedział Arkin. "Jesteśmy w trakcie projektowania i wdrażania nowego, stałego rozwiązania do podpisywania."

"Trudno jest określić implikacje tego incydentu, ponieważ nie możemy być pewni, że tylko udostępnione próbki zostały podpisane bez pozwolenia," Powiedział Botezatu. "Jeśli aplikacja wyrzucania haseł i biblioteka SSL o otwartym kodzie źródłowym są stosunkowo niewinne, nieuczciwy filtr ISAPI może być używany do ataków typu" człowiek w środku "- typowych ataków, które manipulują ruchem z użytkownika na serwer i odwrotnie., między innymi, "powiedział.