在黑客入侵公司的一台内部服务器并用它对两个恶意实用程序进行数字签名之后,Adobe计划撤销代码签名证书。我们在9月12日晚间从一个孤立的(未命名)消息来源收到了恶意应用程序,“Adobe企业通信高级经理Wiebke Lips周四通过电子邮件表示。 “只要签名的有效性得到确认,我们立即启动了关闭和撤销用于生成签名的证书的步骤。”
其中一个恶意实用程序是Pwdump7 7.1版的数字签名副本,可公开获得Windows帐户密码提取工具,其中还包括libeay32.dll OpenSSL库的签名副本
[更多阅读:如何从Windows PC删除恶意软件]
第二个实用程序是名为myGeeksmail.dll的ISAPI筛选器。 ISAPI筛选器可以安装在IIS或Apache for Windows Web服务器中,以拦截和修改HTTP流。这两种流氓工具可以在受到攻击后在计算机上使用,并且可能会通过安全软件的扫描,因为它们可以数字签名似乎来自Adobe合法。
“某些防病毒解决方案不扫描来自可信软件制造商(如Microsoft或Adobe)的有效数字证书签名的文件,”防病毒高级电子威胁分析师Bogdan Botezatu说。供应商BitDefender。 “这会给攻击者一个巨大的好处:即使这些文件被本地安装的AV启发式检测到,它们也会被默认从扫描中跳过,这大大增加了攻击者利用该系统的机会。”
Brad Arkin ,Adobe产品和服务安全高级总监在博客文章中写道,这些流氓代码示例已经与Microsoft Active Protection Program(MAPP)共享,因此安全厂商可以检测到它们。 Adobe认为“绝大多数用户没有风险”,因为类似已签名的工具通常在“高度针对性的攻击”中使用,而不是普遍的攻击,“他写道,”目前,我们已经标记了所有收到的样本是恶意的,我们会继续监测它们的地理分布情况,“Botezatu说。 BitDefender是在MAPP注册的安全厂商之一。
然而,Botezatu无法说明这些文件是否在公司产品保护的计算机上被主动检测到。 “现在说得还为时过早,而且我们还没有足够的数据,”他说,“目前,我们已经将所有收到的样本标记为恶意,并且我们继续监测其地理分布情况,”Botezatu说。
Adobe将妥协追溯到可访问其代码签名基础结构的内部“构建服务器”。 “我们的调查仍在进行中,但目前看来受影响的构建服务器在7月下旬首次受到攻击,”Lips说,“到目前为止,我们已经发现构建服务器上的恶意软件以及可能的机制,首先获得构建服务器的访问权限,“Arkin说。 Arkin说:“我们也有将生成服务器与恶意实用程序的签名链接在一起的法庭证据。”
构建服务器的配置不符合Adobe针对此类服务器的企业标准。 “我们正在调查为什么我们的代码签名访问配置过程在这种情况下未能识别这些缺陷。”
错误使用的代码签名证书由威瑞信于2010年12月14日发布,并计划在Adobe的此操作将影响2012年7月10日之后签署的Adobe软件产品。
“这只影响使用在Windows平台上运行的受影响证书签名的Adobe软件以及在Windows和Macintosh上运行的三个Adobe AIR应用程序,”Arkin说,“Adobe发布了帮助页面,列出受影响的产品并包含使用新证书签名的更新版本的链接
赛门铁克现在拥有并运营威瑞信认证中心,并强调滥用的代码签名证书完全由Adobe控制。
“赛门铁克的所有代码签名证书赛门铁克周四在一份电子邮件声明中称。 Arkin说:“这不是赛门铁克代码签名证书,网络或基础设施的妥协。”
Adobe撤销了其代码签名基础设施,并用临时签名服务取代了它,要求在签名前手动检查文件。 “我们正在设计和部署一个新的永久性签名解决方案。”
“很难确定此事件的影响,因为我们无法确定只有共享样本未经授权签署,” Botezatu说。 “如果密码翻车机应用程序和开源的SSL库相对无害,那么流氓ISAPI过滤器可以用于中间人攻击 - 典型的攻击操纵从用户到服务器的流量,反之亦然等等,“他说。”