Hackers brengen Adobe-server in gevaar, gebruiken deze om kwaadwillende bestanden digitaal te ondertekenen

Adobe is van plan een certificaat voor het ondertekenen van codes in te trekken nadat hackers een van de interne servers van het bedrijf hebben aangetast en het hebben gebruikt om twee schadelijke hulpprogramma's digitaal te ondertekenen. We hebben de kwaadwillende hulpprogramma's in de late avond van 12 september ontvangen vanuit een enkele, geïsoleerde (bron) naam, "Wiebke Lips, senior manager van bedrijfscommunicatie bij Adobe, zei donderdag via e-mail. "Zodra de geldigheid van de handtekeningen werd bevestigd, hebben we onmiddellijk stappen ondernomen om het certificaat dat werd gebruikt om de handtekeningen te genereren, te deactiveren en in te trekken."

Een van de schadelijke hulpprogramma's was een digitaal ondertekend exemplaar van Pwdump7 versie 7.1, een publiekelijk beschikbaar bestand Windows-account wachtwoord extractie tool die ook een ondertekende kopie van de libeay32.dll OpenSSL bibliotheek bevat.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Het tweede hulpprogramma was een ISAPI-filter met de naam myGeeksmail.dll. ISAPI-filters kunnen worden geïnstalleerd in IIS of Apache voor Windows-webservers om HTTP-streams te onderscheppen en te wijzigen.

De twee malafide hulpprogramma's kunnen op een computer worden gebruikt nadat deze is beschadigd en zouden waarschijnlijk een scan door beveiligingssoftware doorgeven digitale handtekeningen zouden legitiem van Adobe komen.

"Sommige antivirusoplossingen scannen geen bestanden ondertekend met geldige digitale certificaten afkomstig van betrouwbare softwaremakers zoals Microsoft of Adobe," zei Bogdan Botezatu, een senior e-threat analyst bij antivirus leverancier BitDefender. "Dit zou de aanvallers een enorm voordeel opleveren: zelfs als deze bestanden heuristisch zouden worden gedetecteerd door de lokaal geïnstalleerde AV, zouden ze standaard worden overgeslagen van scannen, wat de kans dat aanvallers het systeem uitbuiten drastisch verhoogt." Brad Arkin, Adobe's senior director voor beveiliging van producten en diensten, schreef in een blogbericht dat de frauduleuze codevoorbeelden zijn gedeeld met het Microsoft Active Protection Program (MAPP), zodat beveiligingsleveranciers ze kunnen detecteren. Adobe is van mening dat "de overgrote meerderheid van de gebruikers geen risico loopt", omdat tools zoals degene die werden ondertekend gewoonlijk worden gebruikt tijdens "zeer gerichte aanvallen", niet op grote schaal, schreef hij.

"Op dit moment hebben we alle de ontvangen monsters als kwaadaardig en we blijven hun geografische verspreiding volgen, "zei Botezatu. BitDefender is een van de beveiligingsleveranciers die deelnamen aan MAPP.

Botezatu kon echter niet zeggen of een van deze bestanden actief werd gedetecteerd op computers die worden beschermd door de producten van het bedrijf. "Het is nog te vroeg om te vertellen en we hebben nog niet voldoende gegevens", zei hij.

"Op dit moment hebben we alle ontvangen voorbeelden aangemerkt als kwaadaardig en blijven we hun geografische verspreiding volgen", aldus Botezatu.

Adobe traceerde het compromis terug naar een interne 'build-server' die toegang had tot de codetekeninfrastructuur. "Ons onderzoek loopt nog, maar op dit moment lijkt het erop dat de getroffen build-server voor het eerst werd gecompromitteerd eind juli," zei Lips.

"Tot op heden hebben we malware geïdentificeerd op de build-server en het waarschijnlijke mechanisme dat wordt gebruikt om eerst toegang krijgen tot de build-server, "zei Arkin. "We hebben ook forensisch bewijs dat de build-server koppelt aan de ondertekening van kwaadwillende hulpprogramma's."

De configuratie van de build-server was niet conform de bedrijfsnormen van Adobe voor een dergelijke server, zei Arkin. "We onderzoeken waarom ons coderingstoegangsregistratieproces in dit geval deze tekortkomingen niet heeft kunnen identificeren."

Het verkeerd gebruikte code-ondertekeningscertificaat werd uitgegeven door VeriSign op 14 december 2010 en is gepland om te worden ingetrokken bij Adobe verzoek op 4 oktober. Deze bewerking is van invloed op Adobe-softwareproducten die zijn ondertekend na 10 juli 2012.

"Dit is alleen van invloed op de Adobe-software die is ondertekend met het betreffende certificaat dat wordt uitgevoerd op het Windows-platform en drie Adobe AIR-toepassingen die op zowel Windows als Macintosh worden uitgevoerd," zei Arkin.

Adobe heeft een helppagina met de betreffende producten gepubliceerd en bevat koppelingen naar bijgewerkte versies ondertekend met een nieuw certificaat.

Symantec, dat nu eigenaar en beheerder is van de VeriSign-certificeringsinstantie, benadrukte dat het certificaatcertificaat voor misbruik van de code volledig onder het beheer van Adobe viel.

"Geen van de ondertekeningscertificaten van Symantec risico liep, "zei Symantec donderdag in een verklaring per e-mail. "Dit was geen compromis van Symantec's ondertekeningscertificaten, netwerk of infrastructuur."

Adobe heeft de code-ondertekeningsinfrastructuur buiten gebruik gesteld en vervangen door een interim-signeerservice waarbij bestanden handmatig moeten worden gecontroleerd voordat ze worden ondertekend, zei Arkin. "We zijn bezig met het ontwerpen en implementeren van een nieuwe, permanente ondertekeningsoplossing."

"Het is moeilijk om de implicaties van dit incident te bepalen, omdat we er niet zeker van kunnen zijn dat alleen de gedeelde monsters zonder toestemming zijn ondertekend." Botezatu zei. "Als de wachtwoorddumperapplicatie en de open-source SSL-bibliotheek relatief onschadelijk zijn, kan het schurkenstaat-ISAPI-filter worden gebruikt voor man-in-the-middle-aanvallen - typische aanvallen die het verkeer van de gebruiker naar de server manipuleren en vice versa, onder andere, "zei hij.