Hackers kompromiss Adobe-server, bruk den til å signere skadelige filer digitalt

Adobe planlegger å tilbakekalle et kodesigneringssertifikat etter at hackere har skadet en av selskapets interne servere og brukt den til å signere to skadelige verktøy digitalt.

Vi mottok de skadelige verktøyene sent på kvelden den 12. september fra en enkelt, isolert kilde, "sa Wiebke Lips, senioransvarlig for bedriftskommunikasjon på Adobe, torsdag via e-post. "Så snart gyldigheten av signaturene ble bekreftet, startet vi umiddelbart tiltak for å deaktivere og tilbakekalle sertifikatet som ble brukt til å generere signaturene."

En av de skadelige verktøyene var en digitalt signert kopi av Pwdump7 versjon 7.1, en offentlig tilgjengelig Utskriftsverktøy for Windows-konto, som også inneholdt en signert kopi av libeay32.dll OpenSSL-biblioteket.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Det andre verktøyet var et ISAPI-filter kalt myGeeksmail.dll. ISAPI-filtre kan installeres i IIS eller Apache for Windows-webservere for å fange opp og modifisere

De to rogue-verktøyene kan brukes på en maskin etter at den ble kompromittert og vil trolig passere en skanning etter sikkerhetsprogramvare siden deres Digitale signaturer ser ut til å være legitime fra Adobe.

"Noen antivirusløsninger skanner ikke filer som er signert med gyldige digitale sertifikater som kommer fra troverdige programvareleverandører som Microsoft eller Adobe," sa Bogdan Botezatu, en senior e-trusselytiker på antivirus leverandør BitDefender. "Dette ville gi angriperne en stor fordel: Selv om disse filene ble oppdaget av lokalt installerte AV, ville de bli hoppet som standard fra skanning, noe som dramatisk forbedrer angripernes mulighet til å utnytte systemet."

Brad Arkin, Adobes senior direktør for sikkerhet for produkter og tjenester, skrev i et blogginnlegg at de rogue-kodeprøverne har blitt delt med Microsoft Active Protection Program (MAPP), slik at sikkerhetsleverandører kan oppdage dem. Adobe mener at det store flertallet av brukerne ikke er i fare, fordi verktøy som de som ble signert, vanligvis brukes under "høyt målrettede angrep," ikke utbredt, skrev han.

"For øyeblikket har vi flagget alle De mottatte prøvene er skadelige, og vi fortsetter å overvåke deres geografiske distribusjon, sier Botezatu. BitDefender er en av sikkerhetsleverandørene som er registrert i MAPP.

Botezatu kunne imidlertid ikke si om noen av disse filene ble oppdaget aktivt på datamaskiner beskyttet av selskapets produkter. "Det er for tidlig å fortelle, og vi har ikke tilstrekkelig data ennå," sa han.

"For øyeblikket har vi flagget alle mottatte prøver som skadelige, og vi fortsetter å overvåke deres geografiske fordeling," sa Botezatu.

Adobe trakk kompromisset tilbake til en intern "byggeserver" som hadde tilgang til sin kodesigneringsinfrastruktur. "Vår undersøkelse er fortsatt i gang, men nå synes det at den berørte byggeserveren først ble kompromittert i slutten av juli, sier Lips.

" Til dags dato har vi identifisert skadelig programvare på byggeserveren og den sannsynlige mekanismen som brukes til Først få tilgang til byggeserveren, sier Arkin. "Vi har også rettsmedisinske bevis som knytter byggeserveren til signeringen av de ondsinnede verktøyene."

Konfigurasjonen av byggeserveren var ikke opp til Adobes bedriftsstandarder for en server av denne typen, sa Arkin. "Vi undersøker hvorfor vår programpaksessprosess for kodeoppføring i dette tilfellet ikke klarte å identifisere disse manglene."

Det misbrukte kodesigneringssertifikatet ble utgitt av VeriSign 14. desember 2010 og er planlagt å bli tilbakekalt på Adobes forespørsel 4. oktober. Denne operasjonen vil påvirke Adobe-programvareprodukter som ble signert etter 10. juli 2012.

"Dette påvirker bare Adobe-programvaren som er signert med det påvirkede sertifikatet som kjører på Windows-plattformen og tre Adobe AIR-programmer som kjører både på Windows og Macintosh," sa Arkin.

Adobe publiserte en hjelpeside som viser de berørte produktene og inneholder koblinger til oppdaterte versjoner signert med et nytt sertifikat.

Symantec, som nå eier og driver VeriSign-sertifikatautoriteten, understreket at det misbrukte kodesigneringssertifikatet var helt under Adobes kontroll.

"Ingen av Symantecs kodesigneringssertifikater var i fare ", sier Symantec i torsdag i en e-postmelding. "Dette var ikke et kompromiss mot Symantecs kodesigneringssertifikater, nettverk eller infrastruktur."

Adobe avviklet sin kodesigneringsinfrastruktur og erstattet den med en midlertidig signeringstjeneste som krever at filer skal kontrolleres manuelt før de blir signert, sier Arkin. "Vi er i ferd med å designe og distribuere en ny, permanent signeringsløsning."

"Det er vanskelig å fastslå konsekvensene av denne hendelsen, fordi vi ikke kan være sikre på at bare de delte prøvene ble signert uten autorisasjon." Botezatu sa. "Hvis passorddumperapplikasjonen og SSL-biblioteket med åpen kildekode er relativt uskyldige, kan det rogue ISAPI-filteret brukes til man-i-midten-angrep - typiske angrep som manipulerer trafikken fra brukeren til serveren og omvendt, blant annet, "sa han.