Hakkerit kompromisseja Adobe-palvelimelta, käytä sitä digitaalisesti allekirjoittamaan haittaohjelmia

Adobe aikoo peruuttaa koodin allekirjoitustodistuksen, kun hakkereita vaarannettiin yrityksen sisäiset palvelimet ja käytti sitä allekirjoittamaan digitaalisesti kaksi haittaohjelmia.

"" Saimme vahingolliset apuohjelmat syyskuun loppupäivän iltana yhdeltä yksittäiseltä (nimeämättömältä) lähteeltä ", Wiebke Lips, yritysviestinnän johtaja Adobessa, sanoi torstaina sähköpostitse. "Kun allekirjoitusten voimassaolo vahvistettiin, aloitimme välittömästi vaiheet, joilla poistettaisiin ja peruutettaisiin todistus, jota käytetään allekirjoitusten luomiseen."

Yksi haittaohjelmista oli digitaalisesti allekirjoitettu kopio Pwdump7-versiosta 7.1, joka on julkisesti saatavilla

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Toinen apuohjelma oli ISAPI-suodatin nimeltä myGeeksmail.dll. ISAPI-suodattimia voidaan asentaa IIS- tai Apache for Windows -Web-palvelimiin HTTP-virtojen leikkaamiseksi ja muokkaamiseksi.

Näitä kahta väärennöstyökalua voidaan käyttää koneessa sen jälkeen, kun se on vaarantunut ja todennäköisesti läpäisee skannauksen tietoturvaohjelmistolla. digitaaliset allekirjoitukset näyttävät olevan oikeutettuja Adobelta.

"Jotkut virustorjuntaratkaisut eivät skannaa tiedostoja, jotka on allekirjoitettu kelvollisilla digitaalisilla sertifikaateilla, jotka tulevat luotettavilta ohjelmistopäälliköiltä, ​​kuten Microsoftilta tai Adobelta", totesi virustorjuntaan erikoistunut e-uhka-analysaattori Bogdan Botezatu myyjä BitDefender. "Tämä antaisi hyökkääjille valtavan edun: Vaikka paikallisesti asennetun AV: n heuristisesti havaitsivat nämä tiedostot, ne ohitetaan oletusarvoisesti skannauksesta, mikä lisää merkittävästi hyökkääjien mahdollisuuksia hyödyntää järjestelmää."

Brad Arkin, Adoben vanhojen tuotteiden ja palveluiden turvallisuusjohtajaksi kirjoitti blogikirjeen, että väärennöskoodinäytteet on jaettu Microsoft Active Protection -ohjelmalla (MAPP), joten tietoturvatoimittajat voivat havaita ne. Adobe uskoo, että "valtaosa käyttäjistä ei ole vaarassa", koska allekirjoitettuja työkaluja käytetään tavallisesti "erittäin kohdistetuissa hyökkäyksissä", eivätkä laajalle levinneitä, hän kirjoitti.

"Tällä hetkellä olemme merkinneet kaikki vastaanotetut näytteet ovat haitallisia ja jatkamme niiden maantieteellisen jakautumisen valvontaa ", Botezatu sanoi. BitDefender on yksi MAPP: ssä rekisteröidyistä tietoturvatoimittajista.

Botezatu ei kuitenkaan voinut sanoa, onko jokin näistä tiedoista havaittu aktiivisesti tietokoneiden suojaamissa tietokoneissa. "On liian aikaista kertoa, ja meillä ei vielä ole riittäviä tietoja", hän sanoi.

"Olemme tällä hetkellä merkinneet kaikki vastaanotetut näytteet haitallisiksi ja jatkamme niiden maantieteellisen jakautumisen valvontaa", Botezatu sanoi.

Adobe jäljitti kompromissin sisäiseen "build-palvelimeen", jolla oli pääsy koodin allekirjoitusinfrastruktuuriin. "Tutkimuksemme on edelleen käynnissä, mutta tällä hetkellä vaikuttaa siltä, ​​että vaikutusvaltainen rakennuspalvelin vaarantui ensimmäisen kerran heinäkuun lopulla", Lips sanoi.

"Tähän mennessä olemme tunnistaneet haittaohjelmat rakentamispalvelimella ja todennäköinen mekanismi, jota käytetään ensin päästä käsiksi rakentamaan palvelin ", Arkin sanoi. "Meillä on myös rikosteknisiä todisteita, jotka yhdistävät rakentamispalvelimen haitallisten apuohjelmien allekirjoittamiseen."

Rakentamispalvelimen kokoonpano ei vastannut Adoben yritysstandardeja tällaiselle palvelimelle, Arkin totesi. "Pyrimme selvittämään, miksi koodi-allekirjoituksen käyttöoikeuksien myöntämisprosessi ei tässä tapauksessa tunnistanut näitä puutteita."

VeriSign julkaisi väärinkäytettyä koodin allekirjoitustodistusta 14.12.2010, ja sen on tarkoitus peruuttaa Adoben pyyntö 4. lokakuuta. Tämä toimenpide vaikuttaa Adoben ohjelmistotuotteisiin, jotka on allekirjoitettu 10.7.2012 jälkeen.

"Tämä vaikuttaa vain Windows-käyttöympäristöön ja kolmeen Adobe AIR -sovellukseen, jotka toimivat sekä Windowsissa että Macintoshissa,", Arkin sanoi.

Adobe julkaisi ohjesivun, jossa luetellaan kyseiset tuotteet ja sisältää linkit päivitettyihin versioihin, jotka on allekirjoitettu uudella sertifikaatilla.

Symantec, joka omistaa ja käyttää VeriSign-sertifikaatin myöntäjää, korosti, että väärinkäytetty koodin allekirjoitustodistus oli kokonaan Adoben hallinnassa.

"Yksikään Symantecin koodin allekirjoitustodistuksista olivat vaarassa ", Symantec sanoi torstaina sähköpostitse. "Tämä ei ollut kompromissi Symantecin koodin allekirjoitustodistuksista, verkosta tai infrastruktuurista."

Adobe purkasi koodin allekirjoitusinfrastruktuurinsa ja korvasi sen väliaikaisella allekirjoituspalvelulla, joka vaatii tiedostojen manuaalisen tarkistamisen ennen allekirjoittamista, Arkin totesi. "Olemme parhaillaan suunnittelemassa ja ottamassa käyttöön uutta, pysyvää allekirjoitusratkaisua."

"On vaikea määrittää tapauksen seurauksia, koska emme voi olla varmoja, että vain jaetut näytteet allekirjoitettiin ilman lupaa" Botezatu sanoi. "Jos salasanakonehakemus ja avoimen lähdekoodin SSL-kirjasto ovat suhteellisen vaarattomia, väärennös-ISAPI-suodatinta voidaan käyttää man-in-the-middle-hyökkäyksiin - tyypillisiä hyökkäyksiä, jotka manipuloivat liikennettä käyttäjältä palvelimelle ja päinvastoin muun muassa ", hän sanoi.