Hackeři kompromisují server Adobe, používají ho k digitálnímu podpisu škodlivých souborů

Adobe plánuje zrušit certifikát pro podepisování kódu poté, co hackeři napadli jeden z interních serverů společnosti a použili ji k digitálnímu podepsání dvou škodlivých nástrojů. Ve čtvrtek večer 12. září jsme obdrželi škodlivé nástroje z jediného, ​​izolovaného (bez názvu) zdroje, "řekl Wiebke Lips, senior manažer podnikové komunikace společnosti Adobe. "Jakmile byla potvrzena platnost podpisů, okamžitě jsme zahájili kroky k deaktivaci a zrušení certifikátu použitého pro generování podpisů."

Jedním z nástrojů škodlivého softwaru byla digitálně podepsaná kopie Pwdump7 verze 7.1, veřejně přístupná Nástroj pro extrahování hesla účtu Windows, který také obsahoval podepsanou kopii knihovny OpenSSL libeay32.dll.

Dalším nástrojem byl filtr ISAPI s názvem myGeeksmail.dll. Filtry ISAPI lze nainstalovat do serverů IIS nebo Apache pro webové servery Windows, aby zachycovaly a upravovaly toky

Dva nepoctivé nástroje by mohly být použity na stroji poté, co byly ohroženy a pravděpodobně projdou skenováním bezpečnostním softwarem "Některé antivirové řešení neskenují soubory podepsané s platnými digitálními certifikáty pocházejícími od důvěryhodných tvůrců softwaru, jako je společnost Microsoft nebo Adobe," řekl Bogdan Botezatu, senior analytik e-hrozby na antiviru prodejce BitDefender. "To by mělo útočníkům velkou výhodu: I kdyby tyto soubory byly heuristicky detekovány místně instalovaným AV, byly by z výchozího skenování vynechány, což dramaticky zvyšuje šanci útočníků využívat systém."

Brad Arkin, Senior ředitel společnosti Adobe pro bezpečnost produktů a služeb, napsal v příspěvku na blogu, že vzorky nečestných kódů byly sdíleny s programem Microsoft Active Protection Program (MAPP), takže je mohou dodavatelé zabezpečení detekovat. Adobe se domnívá, že "velká většina uživatelů není ohrožena", protože nástroje, jako jsou ty, které byly podepsány, se obvykle používají během "vysoce cílených útoků", nikoli rozšířených, napsal.

přijaté vzorky jsou škodlivé a budeme i nadále sledovat jejich geografické rozložení, "řekl Botezatu. BitDefender je jeden z dodavatelů zabezpečení registrovaných v MAPP.

Botezatu však nemohl říci, zda byl některý z těchto souborů aktivně detekován v počítačích chráněných produkty společnosti. "Je příliš brzy na to říct, a zatím nemáme dostatečná data," řekl.

"V tuto chvíli jsme označili všechny přijaté vzorky za škodlivé a my nadále sledujeme jejich geografické rozložení," řekl Botezatu.

Společnost Adobe vystopovala kompromisy na interní "server", který měl přístup ke své infrastruktuře pro podepisování kódů. "Naše vyšetřování stále pokračuje, ale v tomto okamžiku se zdá, že napadený server byl nejprve kompromitován koncem července," říká Lips.

"Do dnešního dne jsme zjistili malware na serveru a pravděpodobný mechanismus nejprve získat přístup k serveru stavět, "řekl Arkin. "Máme také forenzní důkazy, které spojují stavbu serveru s podpisem škodlivých nástrojů."

Konfigurace serveru pro vytváření služeb nebyla v souladu s podnikovými standardy společnosti Adobe pro takový server, řekl Arkin. "Zkoumáme, proč jsme v tomto případě nedokázali identifikovat tyto nedostatky."

Zneužívaný certifikát pro podepisování kódu byl vydán společností VeriSign dne 14.prosince 2010 a má být odvolán na Adobe žádost dne 4. října. Tato operace bude mít vliv na softwarové produkty společnosti Adobe, které byly podepsány po 10. červenci 2012.

"To se týká pouze softwaru Adobe podepsaného s napadeným certifikátem, který běží na platformě Windows a na třech aplikacích Adobe AIR, které běží na obou systémech Windows a Macintosh."

Společnost Adobe publikovala stránku nápovědy obsahující seznam dotčených produktů a obsahuje odkazy na aktualizované verze podepsané s novým certifikátem.

Společnost Symantec, která nyní vlastní a provozuje certifikační autoritu VeriSign, zdůraznila, že zneužitý certifikát pro podepisování kódu byl zcela pod kontrolou Adobe

"Žádná z certifikátů podepisování kódů společnosti Symantec byly ohroženy, "řekl Symantec ve čtvrtek v e-mailovém prohlášení. "Toto nebylo kompromisem certifikátů, sítí nebo infrastruktury podepisování kódů společnosti Symantec."

Společnost Adobe vyřazila z provozu infrastrukturu pro podepisování kódů a nahradila ji dočasnou podpisovou službou, která vyžaduje, aby byly soubory před podpisem ručně kontrolovány, řekl Arkin. "Jsme v procesu navrhování a zavádění nového trvalého řešení podpisu."

"Je těžké určit důsledky tohoto incidentu, protože si nemůžeme být jisti, že pouze sdílené vzorky byly podepsány bez souhlasu," Řekl Botezatu. "Pokud je aplikace pro odstraňování hesel a knihovnu SSL s otevřeným zdrojovým kódem relativně neškodná, může být nepoctivý filtr ISAPI použit pro útoky typu" man-in-the-middle "- typické útoky, které manipulují s uživatelem na server a naopak, mimo jiné, "řekl.