Hackers comprometem servidor da Adobe, usam para assinar digitalmente arquivos maliciosos

“ Recebemos os utilitários maliciosos no final da tarde de 12 de setembro de uma única fonte isolada (sem nome) ”, disse Wiebke Lips, gerente sênior de comunicações corporativas da Adobe, por e-mail. “Assim que a validade das assinaturas foi confirmada, imediatamente iniciamos as etapas para desativar e revogar o certificado usado para gerar as assinaturas.”

Um dos utilitários maliciosos era uma cópia assinada digitalmente da versão 7.1 do Pwdump7, uma publicação disponível publicamente. Ferramenta de extração de senha da conta do Windows que também incluía uma cópia assinada da biblioteca OpenSSL libeay32.dll

[Leitura adicional: Como remover malware do seu PC com Windows]

O segundo utilitário era um filtro ISAPI chamado myGeeksmail.dll. Os filtros ISAPI podem ser instalados no IIS ou no Apache para servidores Web Windows para interceptar e modificar fluxos As duas ferramentas desonestas podem ser usadas em uma máquina depois que ela foi comprometida e provavelmente passariam uma varredura por software de segurança desde assinaturas digitais parecem legítimas vindas da Adobe.

"Algumas soluções antivírus não examinam arquivos assinados com certificados digitais válidos provenientes de fabricantes de software confiáveis ​​como Microsoft ou Adobe", disse Bogdan Botezatu, analista sênior de ameaças eletrônicas do antivírus. fornecedor do BitDefender. “Isso daria aos atacantes uma enorme vantagem: mesmo que esses arquivos fossem detectados heuristicamente pelo antivírus instalado localmente, eles seriam ignorados por padrão durante a varredura, o que aumentaria drasticamente a chance de os invasores explorarem o sistema.”

Brad Arkin A diretora sênior de segurança de produtos e serviços da Adobe escreveu em um post que as amostras de código não autorizadas foram compartilhadas com o Microsoft Active Protection Program (MAPP) para que os fornecedores de segurança possam detectá-las. A Adobe acredita que “a grande maioria dos usuários não está em risco” porque ferramentas como as que foram assinadas são normalmente usadas durante “ataques altamente direcionados”, não generalizados, escreveu ele.

“No momento, sinalizamos a todos as amostras recebidas são maliciosas e continuamos monitorando sua distribuição geográfica ”, disse Botezatu. O BitDefender é um dos fornecedores de segurança registrados no MAPP.

No entanto, Botezatu não pôde dizer se algum desses arquivos foi detectado ativamente em computadores protegidos pelos produtos da empresa. "É muito cedo para dizer, e ainda não temos dados suficientes", disse ele.

"No momento, denunciamos todas as amostras recebidas como maliciosas e continuamos monitorando sua distribuição geográfica", disse Botezatu.

A Adobe rastreou o comprometimento para um "servidor de criação" interno que tinha acesso à sua infraestrutura de assinatura de código. "Nossa investigação ainda está em andamento, mas neste momento, parece que o servidor de criação impactado foi comprometido no final de julho", disse Lips.

"Até o momento, identificamos malware no servidor de compilação e o provável mecanismo usado para primeiro obter acesso ao servidor de compilação ”, disse Arkin. “Também temos evidências forenses ligando o servidor de compilação à assinatura dos utilitários maliciosos.”

A configuração do servidor de compilação não estava de acordo com os padrões corporativos da Adobe para um servidor dessa natureza, disse Arkin. "Estamos investigando por que nosso processo de provisionamento de acesso de assinatura de código neste caso não identificou essas deficiências."

O certificado de assinatura de código usado incorretamente foi emitido pela VeriSign em 14 de dezembro de 2010 e deve ser revogado na Adobe solicitação em 4 de outubro. Esta operação afetará os produtos de software da Adobe que foram assinados após 10 de julho de 2012.

"Isso afeta apenas o software da Adobe assinado com o certificado impactado que é executado na plataforma Windows e três aplicativos Adobe AIR executados no Windows e no Macintosh", disse Arkin.

A Adobe publicou uma página de ajuda que lista os produtos afetados e contém links para versões atualizadas assinadas com um novo certificado.

A Symantec, que agora possui e opera a autoridade de certificação VeriSign, enfatizou que o certificado de assinatura de código estava totalmente sob o controle da Adobe.

“Nenhum dos certificados de assinatura de código da Symantec estavam em risco ", afirmou a Symantec em comunicado por e-mail. "Este não era um compromisso dos certificados de assinatura de código, rede ou infraestrutura da Symantec."

A Adobe desativou sua infra-estrutura de assinatura de código e substituiu-a por um serviço de assinatura provisória que requer que os arquivos sejam verificados manualmente antes de serem assinados, disse Arkin. “Estamos no processo de projetar e implantar uma nova solução de assinatura permanente.”

“É difícil determinar as implicações desse incidente, porque não podemos ter certeza de que apenas as amostras compartilhadas foram assinadas sem autorização”, Botezatu disse. “Se o aplicativo dumper de senha e a biblioteca SSL de código aberto forem relativamente inócuos, o filtro ISAPI não autorizado poderá ser usado para ataques man-in-the-middle - ataques típicos que manipulam o tráfego do usuário para o servidor e vice-versa. entre outros, ”ele disse.