Hakeri kompromitirali Adobeov poslužitelj, upotrijebite ga za digitalno potpisivanje zlonamjernih datoteka

Adobe planira ukinuti certifikat za potpisivanje kodova nakon što hakeri ugrožavaju jedan od internih poslužitelja tvrtke i koriste ga za digitalno potpisivanje dva zlonamjerna alata.

" Primili smo zlonamjerne alate u kasnoj večeri 12. rujna iz jednog, izoliranog (neimenovanog) izvora ", izjavio je u četvrtak Wiebke Lips, viši menadžer korporativnih komunikacija tvrtke Adobe, putem e-pošte. "Čim smo potvrdili valjanost potpisa, odmah smo pokrenuli korake za deaktivaciju i opoziv certifikata koji se koristi za generiranje potpisa."

Jedna od zlonamjernih uslužnih programa bila je digitalno potpisana kopija Pwdump7 verzije 7.1, javno dostupna Alat za ekstrakciju zaporke za Windows računalnu verziju koji je sadržavao i potpisanu kopiju biblioteke OpenSSL libeay32.dll.

Drugi alat bio je ISAPI filtar nazvan myGeeksmail.dll. ISAPI filtri mogu se instalirati na IIS ili Apache za Windows web poslužitelje kako bi presreli i mijenjali HTTP streamove.

Dva skitnica alati mogli bi se koristiti na stroju nakon što je ugrožena i vjerojatno će proći skeniranje sigurnosnim softverom, digitalni potpisi bi se mogli pojaviti legitimno dolazeći iz Adobe.

"Neki antivirusni programi ne skeniraju datoteke potpisane s važećim digitalnim certifikatima koje dolaze od pouzdanih proizvođača softvera poput Microsofta ili Adobe", rekao je Bogdan Botezatu, viši analitičar e-prijetnji u antivirusnoj tehnologiji dobavljaču BitDefender. "To će dati napadačima veliku prednost: Čak i ako se lokalne instalacije AV heuristički detektiraju te datoteke, oni će biti preskočeni skeniranjem, što dramatično povećava mogućnost napadača da iskoriste sustav."

Brad Arkin, Adobeov viši direktor za sigurnost proizvoda i usluga, napisao je u postu na blogu da su uzorci šelfljivih kodova podijeljeni s programom Microsoft Active Protection (MAPP) kako bi ih prodavači mogli otkriti. Adobe vjeruje da "velika većina korisnika nije u opasnosti", jer se alati poput onih koji su potpisani obično koriste tijekom "visoko ciljanih napada", a ne široko rasprostranjeni. " primljeni uzorci kao zlonamjerni i nastavljamo pratiti njihovu zemljopisnu distribuciju ", kazao je Botezatu. BitDefender je jedan od proizvođača sigurnosti koji su upisani u MAPP.

Međutim, Botezatu nije mogao reći je li bilo koja od tih datoteka aktivno otkrivena na računalima zaštićenim proizvodima tvrtke. "Prerano je reći, a još nemamo dovoljno podataka", rekao je. "Trenutno smo svi primljeni uzorci označili zlonamjernima i nastavljamo pratiti njihovu geografsku distribuciju", rekao je Botezatu.

Adobe je prepoznao kompromis na unutarnjem "graditeljskom poslužitelju" koji je imao pristup svojoj infrastrukturi za potpisivanje koda. "Naša istraga je još uvijek u tijeku, ali u ovom trenutku čini se da je utjecao na izgradnju poslužitelja prvi put ugrožen krajem srpnja", rekao je Lips.

"Do danas smo identificirali zlonamjerni softver na poslužitelju gradnje i vjerojatno mehanizam koji se koristi za prvo steknite pristup poslužitelju gradnje ", rekao je Arkin. "Imamo i forenzičke dokaze koji povezuju graditeljski poslužitelj s potpisivanjem zlonamjernih uslužnih programa."

Konfiguracija poslužitelja za izgradnju nije bila u skladu s korporativnim standardima tvrtke Adobe za poslužitelja ove prirode, rekao je Arkin. "Istražujemo zašto naš postupak pripreme pristupa za potpisivanje kodova u ovom slučaju nije uspio identificirati ove nedostatke."

Potvrda o potpisivanju kodova potvrdila je izdavač VeriSign 14. prosinca 2010. godine, a zakazan je za ukidanje Adobeovih zahtjev na 4. listopada. Ova će operacija utjecati na Adobe softverske proizvode koji su potpisani nakon 10. srpnja 2012.

"Ovo utječe samo na Adobe softver koji je potpisao s utjecanim certifikatom koji se izvodi na Windows platformi i tri Adobe AIR aplikacije koje se pokreću i na Windowsima i Macintoshu", rekao je Arkin.

Adobe je objavio stranicu pomoći koja navodi pogođene proizvode i sadrži veze s ažuriranim verzijama potpisane novom potvrdom.

Symantec, koji sada posjeduje i upravlja VeriSignovim certifikatom, naglasio je da je zloupotreba certifikata za potpisivanje kodeksa u cijelosti pod kontrolom Adobe.

"Niti jedan od Symantecovih certifikata za potpisivanje kodova bili su u opasnosti ", izjavio je u četvrtak Symantec. "Ovo nije kompromis za certifikate, mrežu ili infrastrukturu tvrtke Symantec za potpisivanje koda."

Adobe je odbacio svoju infrastrukturu za potpisivanje koda i zamijenio ga s uslugom privremene potpisivanja koja zahtijeva ručno provjeravanje datoteka prije nego što bude potpisan, rekao je Arkin. "U tijeku je izrada i implementacija novog, trajnog rješenja za potpisivanje."

"Teško je odrediti implikacije ovog incidenta, jer ne možemo biti sigurni da su samo zajednički uzorci potpisani bez odobrenja". Rekao je Botezatu. "Ako je aplikacija lozinke za zamrzavanje i otvorena SSL knjižnica relativno neškodljiva, ISAPI filtar može biti korišten za napada čovjeka u sredini - tipični napadi koji manipuliraju prometa od korisnika do poslužitelja i obrnuto, među ostalima, "rekao je