Gli hacker compromettono il server Adobe, lo usano per firmare digitalmente i file dannosi

Adobe prevede di revocare un certificato di firma del codice dopo che gli hacker hanno compromesso uno dei server interni dell'azienda e lo hanno utilizzato per firmare digitalmente due utilità dannose.

" Abbiamo ricevuto le utilità malevoli a fine serata del 12 settembre da un'unica fonte isolata (non denominata), "Wiebke Lips, senior manager delle comunicazioni aziendali di Adobe, ha dichiarato giovedì via email. "Non appena è stata confermata la validità delle firme, abbiamo immediatamente avviato i passaggi per disattivare e revocare il certificato utilizzato per generare le firme."

Una delle utilità dannose era una copia firmata digitalmente di Pwdump7 versione 7.1, disponibile pubblicamente Strumento di estrazione password account di Windows che includeva anche una copia firmata della libreria OpenSSL libeay32.dll.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

La seconda utilità era un filtro ISAPI chiamato myGeeksmail.dll. I filtri ISAPI possono essere installati in IIS o Apache per i server Web Windows al fine di intercettare e modificare i flussi

I due strumenti rogue potrebbero essere utilizzati su una macchina dopo che è stata compromessa e probabilmente passeranno una scansione dal software di sicurezza poiché le firme digitali sembrerebbero legittime provenienti da Adobe.

"Alcune soluzioni antivirus non eseguono la scansione di file firmati con certificati digitali validi provenienti da produttori di software affidabili come Microsoft o Adobe", ha dichiarato Bogdan Botezatu, analista senior di e-threat su antivirus fornitore BitDefender. "Ciò darebbe agli aggressori un enorme vantaggio: anche se questi file fossero stati rilevati euristicamente dall'AV installato localmente, sarebbero stati saltati di default dalla scansione, il che aumenterebbe notevolmente la possibilità degli hacker di sfruttare il sistema."

Brad Arkin, Il senior director di Adobe per la sicurezza di prodotti e servizi, ha scritto in un post sul blog che gli esempi di codice rogue sono stati condivisi con il Microsoft Active Protection Program (MAPP) in modo che i venditori di sicurezza possano rilevarli. Adobe ritiene che "la stragrande maggioranza degli utenti non è a rischio" perché strumenti come quelli firmati vengono normalmente utilizzati durante "attacchi altamente mirati", non molto diffusi, ha scritto.

"Al momento abbiamo contrassegnato tutti i campioni ricevuti sono malevoli e continuiamo a monitorare la loro distribuzione geografica ", ha detto Botezatu. BitDefender è uno dei fornitori di sicurezza registrati in MAPP.

Tuttavia, Botezatu non è stato in grado di dire se qualcuno di questi file è stato rilevato attivamente su computer protetti dai prodotti dell'azienda. "E 'troppo presto per dirlo, e non abbiamo ancora dati sufficienti", ha detto.

"Al momento, abbiamo contrassegnato tutti i campioni ricevuti come dannosi e continuiamo a monitorare la loro distribuzione geografica", ha detto Botezatu.

Adobe ha risalito il compromesso a un "build server" interno che aveva accesso alla sua infrastruttura di firma del codice. "Le nostre indagini sono ancora in corso, ma in questo momento sembra che il server di build interessato sia stato inizialmente compromesso a fine luglio", ha detto Lips.

"Fino ad oggi abbiamo identificato malware sul server di build e il probabile meccanismo utilizzato per prima ottenere l'accesso al server di build ", ha detto Arkin. "Abbiamo anche prove forensi che collegano il build server alla firma delle utility dannose."

La configurazione del server di build non era all'altezza degli standard aziendali di Adobe per un server di questa natura, ha detto Arkin. "Stiamo indagando sul motivo per cui il nostro processo di provisioning degli accessi alla firma del codice in questo caso non è riuscito a identificare queste carenze."

Il certificato di firma del codice utilizzato in modo improprio è stato emesso da VeriSign il 14 dicembre 2010 ed è pianificato per essere revocato ad Adobe richiesta il 4 ottobre. Questa operazione avrà un impatto sui prodotti software Adobe firmati dopo il 10 luglio 2012.

"Ciò riguarda solo il software Adobe firmato con il certificato interessato che viene eseguito sulla piattaforma Windows e tre applicazioni Adobe AIR eseguite su Windows e Macintosh", ha detto Arkin.

Adobe ha pubblicato una pagina di aiuto che elenca i prodotti interessati e contiene collegamenti a versioni aggiornate firmate con un nuovo certificato.

Symantec, che ora possiede e gestisce l'autorità di certificazione VeriSign, ha sottolineato che il certificato di firma codice utilizzato in modo improprio era interamente sotto il controllo di Adobe.

"Nessuno dei certificati di firma del codice di Symantec erano a rischio ", ha detto oggi Symantec in una dichiarazione inviata via email. "Questo non era un compromesso tra certificati di firma del codice di Symantec, rete o infrastruttura."

Adobe ha dismesso la sua infrastruttura di firma del codice e l'ha sostituita con un servizio di firma provvisoria che richiede che i file vengano controllati manualmente prima di essere firmati, ha detto Arkin. "Stiamo progettando e implementando una nuova soluzione di firma permanente."

"È difficile determinare le implicazioni di questo incidente, perché non possiamo essere sicuri che solo i campioni condivisi siano stati firmati senza autorizzazione" Botezatu ha detto. "Se l'applicazione Dumper di password e la libreria SSL open source sono relativamente innocue, il filtro ISAPI canaglia può essere utilizzato per attacchi man-in-the-middle - tipici attacchi che manipolano il traffico da utente a server e viceversa, tra gli altri ", ha detto.