Hacker kompromittieren Adobe Server, verwenden sie, um böswillige Dateien digital zu signieren

Adobe plant, ein Code-Signing-Zertifikat zu widerrufen, nachdem Hacker einen der internen Server des Unternehmens kompromittiert und damit zwei bösartige Dienstprogramme digital signiert haben.

" Wir haben die bösartigen Dienstprogramme am späten Abend des 12. September von einer einzigen, isolierten (unbenannten) Quelle erhalten ", sagte Wiebke Lips, Senior Manager für Unternehmenskommunikation bei Adobe, am Donnerstag per E-Mail. "Sobald die Gültigkeit der Signaturen bestätigt wurde, haben wir sofort Schritte eingeleitet, um das Zertifikat zum Generieren der Signaturen zu deaktivieren und zu entziehen."

Eines der bösartigen Dienstprogramme war eine digital signierte Version von Pwdump7 Version 7.1, die öffentlich verfügbar ist Windows-Konto-Passwort-Extraktion-Tool, das auch eine signierte Kopie der OpenSSL libeay32.dll-Bibliothek enthalten.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Das zweite Dienstprogramm war ein ISAPI-Filter namens myGeeksmail.dll. ISAPI-Filter können in IIS- oder Apache für Windows-Webservern installiert werden, um HTTP-Streams abzufangen und zu ändern.

Die beiden Rogue-Tools könnten auf einem Computer verwendet werden, nachdem sie kompromittiert wurden und wahrscheinlich einen Scan durch die Sicherheitssoftware bestehen digitale Signaturen würden von Adobe legitim erscheinen.

"Manche Antivirus-Lösungen scannen keine Dateien, die mit gültigen digitalen Zertifikaten vertrauenswürdiger Softwarehersteller wie Microsoft oder Adobe signiert sind", erklärt Bogdan Botezatu, Senior E-Threat Analyst bei Antivirus Hersteller BitDefender. "Dies würde den Angreifern einen großen Vorteil verschaffen: Selbst wenn diese Dateien heuristisch vom lokal installierten AV erkannt würden, würden sie beim Scannen standardmäßig übersprungen werden, was die Chance der Angreifer, das System zu nutzen, drastisch erhöht."

Brad Arkin, Senior Security Director für Produkte und Services von Adobe, schrieb in einem Blogpost, dass die bösartigen Code-Beispiele mit dem Microsoft Active Protection Program (MAPP) geteilt wurden, damit Sicherheitsanbieter sie erkennen können. Adobe glaubt, dass "die überwiegende Mehrheit der Benutzer nicht gefährdet ist", weil Werkzeuge wie die, die unterzeichnet wurden, normalerweise bei "sehr gezielten Angriffen" verwendet werden, nicht weitverbreitet, schrieb er.

"Im Moment haben wir alle markiert die erhaltenen Proben als bösartig und wir überwachen weiterhin ihre geografische Verteilung ", sagte Botezatu. BitDefender ist einer der in MAPP registrierten Sicherheitsanbieter.

Botezatu konnte jedoch nicht sagen, ob eine dieser Dateien aktiv auf Computern entdeckt wurde, die durch die Produkte des Unternehmens geschützt sind. "Es ist zu früh, um es zu sagen, und wir haben noch nicht genügend Daten", sagte er.

"Im Moment haben wir alle erhaltenen Proben als bösartig markiert und wir überwachen weiterhin ihre geografische Verteilung", sagte Botezatu.

Adobe führte die Kompromittierung auf einen internen "Build-Server" zurück, der Zugriff auf seine Code-signierende Infrastruktur hatte. "Unsere Untersuchung ist noch nicht abgeschlossen, aber zu diesem Zeitpunkt scheint es, dass der betroffene Build-Server erst Ende Juli kompromittiert wurde", sagte Lips.

"Bis jetzt haben wir Malware auf dem Build-Server und den wahrscheinlichen Mechanismus identifiziert erhalten Sie zuerst Zugriff auf den Build-Server ", sagte Arkin. "Wir haben auch forensische Beweise, die den Build-Server mit dem Signieren der bösartigen Dienstprogramme verbinden."

Die Konfiguration des Build-Servers entsprach nicht den Unternehmensstandards von Adobe für einen Server dieser Art, sagte Arkin. "Wir untersuchen, warum unser Code Signing Access Provisioning-Prozess in diesem Fall diese Mängel nicht identifizieren konnte."

Das missbrauchte Codesignaturzertifikat wurde von VeriSign am 14. Dezember 2010 ausgestellt und soll bei Adobe widerrufen werden Anforderung am 4. Oktober. Dieser Vorgang betrifft Adobe-Softwareprodukte, die nach dem 10. Juli 2012 signiert wurden.

"Dies betrifft nur die Adobe-Software, die mit dem betroffenen Zertifikat auf der Windows-Plattform und drei Adobe AIR-Anwendungen unter Windows und Macintosh signiert wurde", sagte Arkin.

Adobe hat eine Hilfeseite veröffentlicht, auf der die betroffenen Produkte aufgeführt sind Verweise auf aktualisierte Versionen, die mit einem neuen Zertifikat signiert sind.

Symantec, das die VeriSign-Zertifizierungsstelle besitzt und betreibt, betonte, dass das missbrauchte Codesignaturzertifikat vollständig unter der Kontrolle von Adobe stehe.

"Keines der Symantec-Codesignaturzertifikate waren in Gefahr ", sagte Symantec am Donnerstag in einer E-Mail-Nachricht. "Dies war kein Kompromiss von Symantecs Code-Signing-Zertifikaten, -Netzwerken oder -Infrastrukturen."

Adobe hat seine Code-Signing-Infrastruktur außer Betrieb gesetzt und durch einen vorläufigen Signierungsdienst ersetzt, der eine manuelle Überprüfung der Dateien vor Unterzeichnung erfordert, so Arkin. "Wir sind gerade dabei, eine neue, dauerhafte Signierungslösung zu entwerfen und bereitzustellen."

"Es ist schwierig, die Auswirkungen dieses Vorfalls zu bestimmen, da wir nicht sicher sein können, dass nur die freigegebenen Beispiele ohne Genehmigung signiert wurden." Sagte Botezatu. "Wenn die Anwendung" Passwortdump "und die Open-Source-SSL-Bibliothek relativ harmlos sind, kann der Rogue-ISAPI-Filter für Man-in-the-Middle-Angriffe verwendet werden - typische Angriffe, die den Datenverkehr vom Benutzer zum Server und umgekehrt manipulieren unter anderem ", sagte er.