Hackers kompromitter Adobe-serveren bruger den til digitalt at signere ondsindede filer

Adobe planlægger at tilbagekalde et kode-signaturcertifikat, efter at hackere har kompromitteret en af ​​virksomhedens interne servere og brugt den til digitalt at underskrive to ondsindede værktøjer.

Vi modtog de ondsindede forsyningsvirksomheder i slutningen af ​​aftenen den 12. september fra en enkelt, isoleret (ikke navngivet) kilde, "sagde Wiebke Lips, chef for virksomhedskommunikation i Adobe, torsdag via email. "Så snart signaturernes gyldighed blev bekræftet, begyndte vi straks trin til at deaktivere og tilbagekalde certifikatet, der blev brugt til at generere signaturerne."

En af de ondsindede værktøjer var en digitalt signeret kopi af Pwdump7 version 7.1, en offentligt tilgængelig Windows-adgangskode ekstraktionsværktøj, der også indeholdt en underskrevet kopi af OpenSibe biblioteket libeay32.dll.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Det andet værktøj var et ISAPI-filter kaldet myGeeksmail.dll. ISAPI-filtre kan installeres i IIS eller Apache til Windows Web-servere for at aflytte og modificere

De to skurkeværktøjer kunne bruges på en maskine, efter at den blev kompromitteret og sandsynligvis ville gennemgå en scanning af sikkerhedssoftware, da deres Digitale signaturer ser ud til at være legitime fra Adobe.

"Nogle antivirusløsninger scanner ikke filer, der er underskrevet med gyldige digitale certifikater, der kommer fra troværdige softwareproducenter som Microsoft eller Adobe," sagde Bogdan Botezatu, en senior e-trussel analytiker på antivirus sælger BitDefender. "Dette ville give angriberne en stor fordel: Selvom disse filer blev opdaget heuristisk af den lokalt installerede AV, ville de blive overfaldet som standard fra scanning, hvilket dramatisk forbedrer angriberens chance for at udnytte systemet."

Brad Arkin, Adobes seniorchef for sikkerhed for produkter og tjenester, skrev i et blogindlæg, at de rogue-kodeprøver er blevet delt med Microsoft Active Protection Program (MAPP), så sikkerhedsleverandører kan registrere dem. Adobe mener, at langt de fleste brugere ikke er i fare, fordi værktøjer som dem, der blev underskrevet, normalt bruges under "højt målrettede angreb", ikke udbredt, skrev han.

"I øjeblikket har vi markeret alle de modtagne prøver er skadelige, og vi fortsætter med at overvåge deres geografiske fordeling, "sagde Botezatu. BitDefender er en af ​​de sikkerhedsleverandører, der er indskrevet i MAPP.

Botezatu kunne dog ikke sige, om nogen af ​​disse filer blev registreret aktivt på computere, der var beskyttet af virksomhedens produkter. "Det er for tidligt at fortælle, og vi har ikke tilstrækkelige data endnu," sagde han.

"I øjeblikket har vi markeret alle de modtagne prøver som skadelige, og vi fortsætter med at overvåge deres geografiske fordeling," sagde Botezatu.

Adobe trak kompromiset tilbage til en intern "build server", der havde adgang til sin kode-signeringsinfrastruktur. "Vores undersøgelse er stadig i gang, men på nuværende tidspunkt ser det ud til, at den påvirket build server først blev kompromitteret i slutningen af ​​juli," siger Lips.

"Til dato har vi identificeret malware på build serveren og den sandsynlige mekanisme, der bruges til at Få først adgang til build-serveren, "sagde Arkin. "Vi har også retskabelige beviser, der forbinder byggeserveren med underskrivelsen af ​​de ondsindede værktøjer."

Konfigurationen af ​​byggeserveren var ikke op til Adobes virksomhedsstandarder for en server af denne art, sagde Arkin. "Vi undersøger, hvorfor vores kode-signaturadgangsprocedureringsproces i dette tilfælde ikke kunne identificere disse mangler."

Det misbrugte kode-underskrivelsescertifikat blev udstedt af VeriSign den 14. december 2010 og forventes at blive tilbagekaldt hos Adobes anmodning den 4. oktober. Denne operation vil påvirke Adobe-softwareprodukter, der blev underskrevet efter 10. juli 2012.

"Dette påvirker kun Adobe-softwaren, der er underskrevet med det effektive certifikat, der kører på Windows-platformen og tre Adobe AIR-programmer, der kører både på Windows og Macintosh," sagde Arkin.

Adobe offentliggjorde en hjælpeside, der lister de berørte produkter og indeholder links til opdaterede versioner, der er underskrevet med et nyt certifikat.

Symantec, som nu ejer og driver VeriSign-certifikatmyndigheden, understregede, at det misbrugte kode-signaturcertifikat helt og holdent var under Adobe's kontrol.

"Ingen af ​​Symantecs kodesignaturcertifikater var i fare ", sagde Symantec torsdag i en mailet udsagn. "Dette var ikke et kompromis med Symantecs kodesignaturcertifikater, netværk eller infrastruktur."

Adobe afbrudt sin kodesigneringsinfrastruktur og erstattede den med en midlertidig underskrivelsestjeneste, der kræver, at filer manuelt kontrolleres, før de bliver underskrevet, siger Arkin. "Vi er i færd med at designe og implementere en ny permanent signeringsløsning."

"Det er svært at afgøre konsekvenserne af denne hændelse, fordi vi ikke kan være sikre på, at kun de delte prøver blev underskrevet uden tilladelse" Botezatu sagde. "Hvis password-dumper-applikationen og open source-SSL-biblioteket er relativt uskadelige, kan det rogue ISAPI-filter bruges til man-i-midten-angreb - typiske angreb, der manipulerer trafikken fra brugeren til serveren og omvendt, blandt andre, "sagde han.