האקרים מתפשרים על שרת Adobe, השתמש בו כדי לחתום דיגיטלית על קבצים זדוניים

Adobe מתכננת לבטל אישור חתימת קוד לאחר שהאקרים הפריעו לאחד השרתים הפנימיים של החברה והשתמשו בו כדי לחתום דיגיטלית על שני כלי שירות זדוניים. קיבלנו את כלי השירות הזדוניים בסוף הערב של ה -12 בספטמבר ממקור בודד (ללא שם), "אמר וויבקה ליפס, מנהל בכיר של תקשורת ארגונית בחברת Adobe, ביום חמישי. "ברגע שתוקפו תוקף החתימות, התחלנו מיד בצעדים לביטול וביטול התעודה ששימשה ליצירת החתימות."

אחד השירותים הזדוניים היה עותק חתום דיגיטלית של Pwdump7 גרסה 7.1, זמין לציבור כלי החילוץ של סיסמת Windows, שכלל גם עותק חתום של ספריית OpenSe libeay32.dll. [

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows]

כלי השירות השני היה מסנן ISAPI שנקרא myGeeksmail.dll. ניתן להתקין מסנני ISAPI ב- IIS או ב- Apache עבור שרתי האינטרנט של Windows כדי ליירט ולשנות את זרמי ה- שני הכלים הנבלטים יכולים לשמש במכונה לאחר שהיא נפגעת, וככל הנראה יעברו סריקה של תוכנת אבטחה מאז "כמה פתרונות אנטי-וירוס לא סורקים קבצים חתומים עם אישורים דיגיטליים חוקיים שמגיעים ממקבלי תוכנה מהימנים כמו מיקרוסופט או אדובי", אמר בוגדאן בוטזטו, אנליסט בכיר באיומים אלקטרוניים באנטי-וירוס ספק BitDefender. "זה ייתן לתוקפים יתרון עצום: גם אם הקבצים האלה יאותרו על ידי ה- AV המותקן באופן מקומי, הם ידלגו כברירת מחדל מסריקה, דבר שמשפר באופן דרמטי את הסיכויים של התוקפים לנצל את המערכת".

בראד ארקין, מנהל האבטחה הבכיר של Adobe למוצרים ושירותים, כתב בהודעה בבלוג כי הדוגמאות קוד נוכלים כבר משותף עם Microsoft Active Protection Program (MAPP), כך ספקי אבטחה יכול לזהות אותם. לדברי אדובי, "הרוב המכריע של המשתמשים לא נמצאים בסיכון", כי כלים כמו אלה שנחתמו משמשים בדרך כלל במהלך "התקפות ממוקדות", לא נפוצים, כתב. "כרגע, סימנו את הכל את הדגימות שהתקבלו כזדוניות ואנו ממשיכים לעקוב אחר ההפצה הגיאוגרפית שלהם ", אמר Botezatu. BitDefender היא אחת מספקי האבטחה שנרשמו ל- MAPP.

עם זאת, Botezatu לא יכול היה לקבוע אם אחד מהקבצים הללו זוהה באופן פעיל במחשבים שמוגנים על-ידי מוצרי החברה. "זה מוקדם מדי לספר, ואין לנו עדיין מספיק נתונים", הוא אומר. "כרגע, סימנו את כל הדגימות שהתקבלו כזדוניות ואנחנו ממשיכים לעקוב אחר ההתפלגות הגיאוגרפית שלהם", אמר בוטזטו.

Adobe עקבה אחר הפשרה ל"שרת שרת "פנימי שהיה בעל גישה לתשתית החתימה על הקוד שלה. "החקירה שלנו עדיין מתמשכת, אבל כרגע נראה כי שרת הבנייה המושפע נפגע בסוף יולי", אמר ליפס. "עד כה זיהינו תוכנה זדונית בשרת הבנייה והמנגנון הסביר המשמש גישה ראשונה לשרת הבניה ", אמר ארקין. "יש לנו גם עדויות פליליות המקשרות את שרת הבנייה לחתימת כלי השירות הזדוניים".

התצורה של שרת הבנייה לא עמדה בסטנדרטים הארגוניים של Adobe עבור שרת מסוג זה, אמר ארקין. "אנו בודקים מדוע תהליך הקצאת הגישה לחתימת קוד במקרה זה לא הצליח לזהות את הליקויים הללו".

תעודת החתימה על קוד השגיאה נמסרה על ידי VeriSign ב- 14 בדצמבר 2010, והיא אמורה להתבטל ב- Adobe בקשה ב -4 באוקטובר. פעולה זו תשפיע על מוצרי התוכנה של Adobe שנחתמו לאחר 10 ביולי 2012.

"זה משפיע רק על תוכנת Adobe חתומה עם האישור המושפע שפועל על פלטפורמת Windows ושלושה יישומי Adobe AIR הפועלים על חלונות ומקינטוש", אומר ארקין.

Adobe פירסם דף עזרה המפרט את המוצרים המושפעים ומכיל קישורים לגרסאות מעודכנות שנחתמו עם אישור חדש.

Symantec, המחזיקה ומפעילה את רשות האישורים של VeriSign, הדגישה כי תעודת החתימה בקוד השגיאה היתה לגמרי בשליטת Adobe.

"אף אחת מסימניות החתימה על סימנטק היו בסיכון ", אמרה סימנטק ביום חמישי בהודעה בדוא"ל. "זה לא היה פשרה של סימנטק של חתימה על תעודות קוד, רשת או תשתית."

Adobe הוציאה את תשתית החתימה על הקוד שלה והחליפה אותה עם שירות חתימה זמנית הדורש קבצים לבדיקה ידנית לפני חתימת, אמר ארקין. "אנחנו נמצאים בתהליך של תכנון ופריסה של פתרון חתימה חדש וקבוע". "קשה לקבוע את ההשלכות של האירוע הזה, כי אנחנו לא יכולים להיות בטוחים שרק הדגימות המשותפות נחתמו ללא אישור". אמר Botezatu. "אם היישום של קוד הסיסמה וספריית SSL של קוד פתוח הם מזיקים יחסית, מסנן ISAPI הסורר יכול לשמש להתקפות מסוג 'אדם באמצע' - התקפות טיפוסיות המניעות את התנועה מהמשתמש לשרת ולהיפך, בין היתר, "אמר