A hackerek kompromittálják az Adobe szervert, használják a rosszindulatú fájlok digitális aláírására

Az Adobe meg akarta vonni a kód aláírási tanúsítványt, miután a hackerek megzavarták a cég belső szervereit, és két rosszindulatú segédprogramot digitálisan aláírtak.

" A szeptember 12-én este késő este egyetlen rosszindulatú (névtelen) forrásból kaptuk a rosszindulatú segédprogramokat, "mondta Wiebke Lips, az Adobe vállalati kommunikáció vezetője. "Miután megerősítettük az aláírások érvényességét, azonnal kezdeményeztük az aláírás létrehozásához használt tanúsítvány deaktiválására és visszavonására vonatkozó lépéseket."

Az egyik rosszindulatú segédprogram a Pwdump7 7.1 verzió digitálisan aláírt példánya volt, amely nyilvánosan elérhető Windows fiók jelszavasító eszköz, amely tartalmazta a libeay32.dll OpenSSL könyvtár aláírt példányát is.

[További olvasmány: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépről]

A második segédprogram egy ISAPI szűrő volt, a myGeeksmail.dll néven. Az ISAPI szűrők telepíthetők IIS vagy Apache for Windows webkiszolgálókon a HTTP-folyamok lehallgatásához és módosításához.

A két gazember eszközt egy gépen is használhatják, miután kompromittálódott, és valószínűleg biztonsági szoftvert a digitális aláírások jogosnak tűnnek az Adobe-ból.

"Egyes víruskereső megoldások nem vizsgálják az olyan megbízható digitális tanúsítványokkal aláírt fájlokat, amelyek olyan megbízható szoftvergyártókból származnak, mint a Microsoft vagy az Adobe" - mondta Bogdan Botezatu, a BitDefender gyártója. "Ez óriási előnyhöz juttatja a támadókat: Még ha ezek a fájlok is heurisztikusan észlelhetők a helyileg telepített AV-n keresztül, akkor alapértelmezés szerint azokat átugorják a beolvasásból, ami drámai módon növeli a támadók esélyét a rendszer kihasználására."

Brad Arkin, Az Adobe termékeinek és szolgáltatásainak biztonságáért felelős vezető igazgatója egy blogbejegyzésben írta, hogy a csaló kódmintákat megosztották a Microsoft Active Protection Programmal (MAPP), így a biztonsági értékesítők észlelhetik őket. Az Adobe úgy véli, hogy "a felhasználók túlnyomó többsége nem kerül veszélybe", mivel az aláírt eszközöket általában a "nagymértékben célzott támadások" alatt használják, nem pedig széles körűek. a kapott mintákat rosszindulatú és továbbra is figyelemmel kísérjük földrajzi eloszlásukat "- mondta Botezatu. A BitDefender egyike a MAPP-be beiratkozott biztonsági szolgáltatóknak.

A Botezatu azonban nem tudta megmondani, hogy ezek a fájlok aktívan észlelhetőek-e a vállalat termékei által védett számítógépeken. "Még korai lenne elmondani, és még nem állnak rendelkezésre elegendő adat" - mondta. "Jelenleg mindegyik kapott mintát rosszindulatú jelként jelöltük meg, és továbbra is figyelemmel kísérjük földrajzi eloszlásukat" - mondta Botezatu.

Az Adobe visszavette a kompromisszumot egy belső "build szerverre", amely hozzáférést kapott a kód aláíró infrastruktúrához. "A vizsgálatunk még mindig folyamatban van, de ez idő alatt úgy tűnik, hogy a hatással lévő építési kiszolgálót először kompromittálta július végén" - mondta Lips.

"Eddig felismertük a rosszindulatú programokat a buildkiszolgálón és a valószínű mechanizmusokat először nyerjen hozzáférést az építő szerverhez "- mondta Arkin. "Igazságügyi bizonyítékokkal is rendelkezünk, amelyek összekapcsolják az építőszervert a rosszindulatú segédprogramok aláírásával."

Az építési kiszolgáló konfigurációja nem felel meg az Adobe vállalati szabványainak, egy ilyen szerver számára, mondta Arkin. "Vizsgáljuk, hogy miért nem sikerült azonosítani ezeket a hiányosságokat."

A visszaélésszerű kód-aláírási tanúsítványt a VeriSign adott ki 2010. december 14-én, és a tervek szerint visszavonásra kerül az Adobe kérésre október 4-én. Ez a művelet hatással lesz az Adobe szoftvertermékekre, amelyeket 2012. július 10. után írtak alá.

"Ez csak a Windows platformon futó hatással rendelkező tanúsítvánnyal aláírt Adobe szoftverre és mind a Windows, mind a Macintosh operációs rendszeren futó három Adobe AIR alkalmazásra vonatkozik" - mondta Arkin.

Az Adobe egy olyan súgóoldalt tett közzé, amely felsorolja az érintett termékeket, és tartalmaz új verzióval aláírt frissített verziókra mutató linkek

A VeriSign tanúsítványt felügyelő hatóság tulajdonosa és működő Symantec hangsúlyozta, hogy a visszaélésszerű kód-aláírási tanúsítvány teljes egészében az Adobe ellenőrzése alatt állt.

"A Symantec kód aláírásával kapcsolatos tanúsítványok egyike sem veszélyben voltak "- nyilatkozta a Symantec csütörtökön e-mailes nyilatkozatban. "Ez nem kompromisszum a Symantec kód aláírási tanúsítványairól, hálózatairól vagy infrastruktúrájáról."

Az Adobe megszüntette a kód aláírási infrastruktúráját, és ideiglenes aláírási szolgáltatással váltotta fel, amelyhez manuálisan ellenőrizni kell a fájlokat, mielőtt aláírnák. "Egy új, állandó aláírási megoldás tervezését és bevezetését tervezzük."

"Nehéz meghatározni az esemény következményeit, mert nem lehetünk biztosak abban, hogy csak a megosztott minták engedély nélkül íródtak alá". Botezatu mondta. "Ha a jelszó-dumper alkalmazás és a nyílt forráskódú SSL-könyvtár viszonylag ártalmatlan, akkor a szélhámos ISAPI-szűrő használható a" man-in-the-middle "támadásokhoz - tipikus támadások, amelyek manipulálják a forgalmat a felhasználóról a kiszolgálóra és fordítva többek között - mondta.