Хакеры компрометируют сервер Adobe, используют его для цифровой подписи вредоносных файлов

Adobe планирует отменить сертификат подписи кода после того, как хакеры взломали один из внутренних серверов компании и использовали его для цифровой подписи двух вредоносных утилит.

" Мы получили злонамеренные утилиты поздним вечером 12 сентября из одного изолированного (неназванного) источника », - заявил в четверг по электронной почте старший вице-президент по корпоративным коммуникациям в компании Wiebke Lips. «Как только срок действия подписей был подтвержден, мы сразу же инициировали шаги по деактивации и отзыву сертификата, используемого для генерации подписей».

Одной из вредоносных утилит была цифровая подпись Pwdump7 версии 7.1, общедоступная Утилита для восстановления пароля учетной записи Windows, которая также включала подписанную копию библиотеки OpenSSL библиотеки libeay32.dll.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Вторая утилита - это фильтр ISAPI с именем myGeeksmail.dll. Фильтры ISAPI могут быть установлены на веб-серверах IIS или Apache для Windows, чтобы перехватывать и изменять

Два инструмента-изгоя могут использоваться на машине после того, как он был взломан и, скорее всего, пройдет проверку с помощью программного обеспечения безопасности, поскольку их Цифровые подписи выглядят законными, исходящими из Adobe.

«Некоторые антивирусные решения не сканируют файлы, подписанные действительными цифровыми сертификатами, поступающие от заслуживающих доверия разработчиков программного обеспечения, таких как Microsoft или Adobe», - сказал Богдан Ботезату, старший аналитик по электронной угрозе в антивирусе поставщика BitDefender. «Это дало бы злоумышленникам огромное преимущество: даже если эти файлы были эвристически обнаружены локально установленным AV, по умолчанию они будут пропущены из сканирования, что значительно повышает вероятность атаки злоумышленников на использование системы».

Брэд Аркин, Старший директор Adobe по безопасности продуктов и услуг, написал в блоге, что образцы кода изгоев были переданы в Microsoft Active Protection Program (MAPP), поэтому поставщики безопасности могут их обнаружить. Adobe полагает, что «подавляющее большинство пользователей не подвержено риску», потому что такие инструменты, как те, которые были подписаны, обычно используются во время «целенаправленных атак», а не широко распространенных, писал он.

«На данный момент мы отметили все полученные образцы являются злонамеренными, и мы продолжаем отслеживать их географическое распределение », - сказал Ботезату. BitDefender является одним из поставщиков безопасности, зарегистрированным в MAPP.

Однако, Botezatu не мог сказать, были ли какие-либо из этих файлов активно обнаружены на компьютерах, защищенных продуктами компании. «Пока еще слишком рано говорить, и у нас пока нет достаточных данных», - сказал он.

«На данный момент мы отметили все полученные образцы как злонамеренные, и мы продолжаем отслеживать их географическое распределение», - сказал Ботезату.

Adobe отследила компромисс с внутренним «сервером сборки», который имел доступ к своей инфраструктуре подписи кода. «Наше исследование все еще продолжается, но в настоящее время кажется, что в конце июля первый взломанный сервер сборки был взломан, - сказал Липс.

« На сегодняшний день мы обнаружили вредоносное ПО на сервере сборки и вероятный механизм, используемый для сначала получить доступ к серверу сборки », - сказал Аркин. «У нас также есть судебные доказательства, связывающие сервер сборки с подписанием вредоносных утилит».

Конфигурация сервера сборки не соответствовала корпоративным стандартам Adobe для такого сервера, сказал Аркин. «Мы изучаем, почему процесс обеспечения доступа к подписке на код в этом случае не смог выявить эти недостатки».

Сертификат подписи под кодовым названием был выдан VeriSign 14 декабря 2010 года и должен быть отозван в Adobe запрос на 4 октября. Эта операция повлияет на программные продукты Adobe, которые были подписаны после 10 июля 2012 года.

«Это влияет только на программное обеспечение Adobe, подписанное с влиятельным сертификатом, который работает на платформе Windows и тремя приложениями Adobe AIR, которые работают как на Windows, так и на Macintosh», - сказал Аркин.

Adobe опубликовала страницу справки, в которой перечислены затронутые продукты и содержится ссылки на обновленные версии, подписанные с новым сертификатом.

Symantec, которая теперь владеет и управляет центром сертификации VeriSign, подчеркнула, что недопустимый сертификат подписи кода полностью находится под контролем Adobe.

«Ни один из сертификатов подписи кода Symantec были подвержены риску », - сказал Symantec в четверг в заявлении по электронной почте. «Это не было компромиссом с сертификатами, сетью или инфраструктурой подписи кода Symantec».

Adobe вывела свою инфраструктуру подписи кода и заменила ее промежуточной подписью, которая требует, чтобы файлы были проверены вручную перед подписанием, сказал Аркин. «Мы находимся в процессе разработки и развертывания нового, постоянного решения для подписания».

«Трудно определить последствия этого инцидента, потому что мы не можем быть уверены, что только общие образцы были подписаны без авторизации», Ботезату сказал. «Если приложение для удаления паролей и библиотека SSL с открытым исходным кодом являются относительно безобидными, фильтр-брандмауэр ISAPI можно использовать для атак типа« человек-в-середине »- типичные атаки, которые управляют трафиком от пользователя к серверу и наоборот, среди прочих », - сказал он.