Hackers συμβιβασμό διακομιστή Adobe, χρησιμοποιήστε το για να υπογράψει ψηφιακά κακόβουλα αρχεία

Η Adobe σχεδιάζει να ανακαλέσει ένα πιστοποιητικό υπογραφής κώδικα, αφού οι hackers παραβίασαν έναν από τους εσωτερικούς διακομιστές της εταιρείας και το χρησιμοποίησαν για να υπογράψουν ψηφιακά δύο κακόβουλες βοηθητικές εφαρμογές. Λάβαμε τις κακόβουλες επιχειρήσεις κοινής ωφέλειας αργά το βράδυ της 12ης Σεπτεμβρίου από μια μόνο, απομονωμένη (ανώνυμη) πηγή, "δήλωσε την Πέμπτη μέσω ηλεκτρονικού ταχυδρομείου η Wiebke Lips, ανώτερος διευθυντής εταιρικών επικοινωνιών στην Adobe. "Μόλις επιβεβαιώθηκε η εγκυρότητα των υπογραφών, ξεκινήσαμε αμέσως βήματα για να απενεργοποιήσουμε και να ανακαλέσουμε το πιστοποιητικό που χρησιμοποιήθηκε για τη δημιουργία των υπογραφών."

Ένα από τα κακόβουλα βοηθητικά προγράμματα ήταν ένα ψηφιακά υπογεγραμμένο αντίγραφο του Pwdump7 έκδοση 7.1, Εργαλείο εξαγωγής κωδικού πρόσβασης λογαριασμού των Windows που συμπεριέλαβε επίσης ένα υπογεγραμμένο αντίγραφο της βιβλιοθήκης OpenSL libeay32.dll.

Το δεύτερο βοηθητικό πρόγραμμα ήταν ένα φίλτρο ISAPI που ονομάζεται myGeeksmail.dll. Τα φίλτρα ISAPI μπορούν να εγκατασταθούν σε IIS ή Apache για Windows Web servers, προκειμένου να παρακολουθήσουν και να τροποποιήσουν τις ροές

Τα δύο εργαλεία αδίστακτων θα μπορούσαν να χρησιμοποιηθούν σε ένα μηχάνημα μετά την αποτυχία του και πιθανότατα θα περάσουν μια σάρωση από το λογισμικό ασφαλείας οι ψηφιακές υπογραφές εμφανίζονται νόμιμες από την Adobe

«Ορισμένες λύσεις προστασίας από ιούς δεν σαρώνουν αρχεία που έχουν υπογραφεί με έγκυρα ψηφιακά πιστοποιητικά που προέρχονται από αξιόπιστους κατασκευαστές λογισμικού όπως η Microsoft ή η Adobe», δήλωσε ο Bogdan Botezatu, ανώτερος αναλυτής ηλεκτρονικής απειλής σε antivirus προμηθευτή BitDefender. "Αυτό θα έδινε στους επιτιθέμενους ένα τεράστιο πλεονέκτημα: Ακόμη και αν αυτά τα αρχεία ανιχνεύθηκαν ευρετικά από το τοπικά εγκατεστημένο AV, θα είχαν παραβλεφθεί από προεπιλογή από τη σάρωση, γεγονός που ενισχύει δραματικά τις πιθανότητες των εισβολέων να εκμεταλλευτούν το σύστημα."

Brad Arkin, Ο ανώτερος διευθυντής ασφαλείας της Adobe για προϊόντα και υπηρεσίες, έγραψε σε μια ανάρτηση ιστολογίου ότι τα δείγματα κώδικα απατεώνων έχουν μοιραστεί με το πρόγραμμα Microsoft Active Protection Program (MAPP), ώστε οι προμηθευτές ασφαλείας να μπορούν να τις ανιχνεύσουν. Η Adobe πιστεύει ότι "η μεγάλη πλειοψηφία των χρηστών δεν κινδυνεύει", επειδή εργαλεία όπως αυτά που υπογράφηκαν συνήθως χρησιμοποιούνται κατά τη διάρκεια "επιθεωρήσεων υψηλής επίτευξης", όχι διαδεδομένων, γράφει.

«Αυτή τη στιγμή έχουμε επισημάνει όλα τα ληφθέντα δείγματα ως κακόβουλα και συνεχίζουμε να παρακολουθούμε τη γεωγραφική τους κατανομή ", δήλωσε ο Botezatu. Το BitDefender είναι ένας από τους προμηθευτές ασφαλείας που είναι εγγεγραμμένοι στο MAPP.

Ωστόσο, η Botezatu δεν μπόρεσε να πει αν κάποιο από αυτά τα αρχεία ανιχνεύθηκε ενεργά σε υπολογιστές που προστατεύονται από τα προϊόντα της εταιρείας. "Είναι πολύ νωρίς για να το πούμε και δεν διαθέτουμε επαρκή δεδομένα", δήλωσε ο κ. Batezatu.

«Αυτή τη στιγμή έχουμε επισημάνει όλα τα λαμβανόμενα δείγματα ως κακόβουλα και συνεχίζουμε να παρακολουθούμε τη γεωγραφική τους κατανομή», δήλωσε ο Botezatu.

Η Adobe ανίχνευσε τον συμβιβασμό σε έναν εσωτερικό διακομιστή που είχε πρόσβαση στην υποδομή υπογραφής κώδικα. "Η έρευνά μας εξακολουθεί να είναι σε εξέλιξη, αλλά αυτή τη στιγμή, φαίνεται ότι ο server που επηρεάστηκε από το build ήταν για πρώτη φορά συμβιβασμένος στα τέλη Ιουλίου", δήλωσε ο Lips.

"Μέχρι σήμερα έχουμε εντοπίσει κακόβουλο λογισμικό στον server build και τον πιθανό μηχανισμό που χρησιμοποιείται πρώτα να αποκτήσετε πρόσβαση στον διακομιστή δημιουργίας ", δήλωσε ο Arkin. "Έχουμε επίσης εγκληματολογικές αποδείξεις που συνδέουν το διακομιστή κατασκευής με την υπογραφή των κακόβουλων βοηθητικών προγραμμάτων."

Η διαμόρφωση του διακομιστή δημιουργίας δεν ήταν σύμφωνα με τα εταιρικά πρότυπα της Adobe για έναν διακομιστή αυτού του είδους, δήλωσε ο Arkin. "Εξετάζουμε γιατί η διαδικασία παροχής πόρων για την υπογραφή κώδικα στην περίπτωση αυτή δεν κατάφερε να εντοπίσει αυτές τις ελλείψεις."

Το πιστοποιητικό υπογραφής κώδικα που χρησιμοποιήθηκε σωστά εκδόθηκε από την VeriSign στις 14 Δεκεμβρίου 2010 και έχει προγραμματιστεί να ανακληθεί από την Adobe αίτημα στις 4 Οκτωβρίου. Η λειτουργία αυτή θα επηρεάσει τα προϊόντα λογισμικού της Adobe που υπογράφηκαν μετά τις 10 Ιουλίου 2012.

"Αυτό επηρεάζει μόνο το λογισμικό Adobe που έχει υπογράψει με το πιστοποιητικό που επηρεάζεται από την πλατφόρμα Windows και τρεις εφαρμογές Adobe AIR που εκτελούνται σε Windows και Macintosh", δήλωσε ο Arkin.

Η Adobe δημοσίευσε μια σελίδα βοήθειας που περιλαμβάνει τα προϊόντα που επηρεάζονται και περιέχει συνδέεται με ενημερωμένες εκδόσεις που έχουν υπογραφεί με νέο πιστοποιητικό

Η Symantec, η οποία κατέχει και λειτουργεί την αρχή έκδοσης πιστοποιητικών VeriSign, υπογράμμισε ότι το πιστοποιητικό υπογραφής κώδικα που χρησιμοποιήθηκε ήταν εξ ολοκλήρου υπό τον έλεγχο της Adobe

"Κανένα από τα πιστοποιητικά υπογραφής κώδικα της Symantec ήταν σε κίνδυνο ", δήλωσε η Symantec την Πέμπτη σε μια ηλεκτρονική δήλωση. "Η τεχνολογία υποβάθμισης του κώδικα και η αντικατάσταση της με μια προσωρινή υπηρεσία υπογραφής που απαιτεί τη χειροκίνητη επαλήθευση των αρχείων προτού υπογραφεί, δήλωσε ο Arkin. "Είναι δύσκολο να καθορίσουμε τις συνέπειες αυτού του περιστατικού, διότι δεν μπορούμε να είμαστε σίγουροι ότι μόνο τα κοινά δείγματα υπογράφηκαν χωρίς άδεια", δήλωσε ο κ. Είπε ο Botezatu. "Εάν η εφαρμογή δίσκου κωδικών πρόσβασης και η βιβλιοθήκη SSL ανοιχτού κώδικα είναι σχετικά αβλαβή, το απατεώδες φίλτρο ISAPI μπορεί να χρησιμοποιηθεί για επιθέσεις ανθρώπου-στο-μέση - τυπικές επιθέσεις που χειρίζονται την κίνηση από το χρήστη στο διακομιστή και αντίστροφα, μεταξύ άλλων, "είπε.