Hackers kompromissa Adobe-servern, använd den för att digitalt signera skadliga filer

Adobe planerar att återkalla ett kodsigneringscertifikat efter att hackare skadat ett av företagets interna servrar och använde det för att digitalt signera två skadliga verktyg.

Vi mottog de skadliga verktygen i slutet av söndagen den 12 september från en enda, isolerad (icke namngiven) källa, säger Wiebke Lips, chef för företagskommunikation i Adobe, torsdagen via e-post. "Så snart som signaturernas giltighet bekräftades, inledde vi omedelbart åtgärder för att inaktivera och återkalla certifikatet som användes för att generera signaturerna."

Ett av de skadliga verktygen var en digitalt signerad kopia av Pwdump7 version 7.1, en allmänt tillgänglig Utökningsverktyg för Windows-konto lösenord som också inkluderade en undertecknad kopia av biblioteket libeay32.dll OpenSSL.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Det andra verktyget var ett ISAPI-filter som heter myGeeksmail.dll. ISAPI-filter kan installeras i IIS eller Apache för Windows-webbservrar för att avlyssna och modifiera

De två rogue-verktygen kan användas på en maskin efter att den har äventyras och skulle sannolikt skicka en genomsökning av säkerhetsprogram eftersom deras digitala signaturer verkar vara legitima kommer från Adobe.

"Vissa antiviruslösningar skannar inte filer som är signerade med giltiga digitala certifikat som kommer från tillförlitliga programvaruleverantörer som Microsoft eller Adobe", säger Bogdan Botezatu, en äldre e-hotanalytiker på antivirus säljare BitDefender. "Detta skulle ge attackerna en stor fördel: Även om dessa filer upptäcktes heuristiskt av den lokalt installerade AV-enheten, skulle de som standard överhoppas från scanning, vilket dramatiskt ökar attackerarnas chans att utnyttja systemet."

Brad Arkin, Adobes ledande chef för säkerhet för produkter och tjänster, skrev i ett blogginlägg att rogue-kodproverna har delats med Microsoft Active Protection Program (MAPP), så säkerhetsleverantörer kan upptäcka dem. Adobe tror att "de allra flesta användare inte är i fara" eftersom verktyg som de som undertecknades normalt används under "mycket riktade attacker", inte utbredda, skrev han.

"För närvarande har vi flaggat alla De mottagna proverna är skadliga och vi fortsätter att övervaka deras geografiska fördelning, säger Botezatu. BitDefender är en av säkerhetsleverantörerna som är inskrivna i MAPP.

Botezatu kunde dock inte säga om någon av dessa filer var aktivt detekterad på datorer som skyddades av företagets produkter. "Det är för tidigt att berätta, och vi har inte tillräckligt med data ännu," sade han.

"För närvarande har vi flaggat alla mottagna prover som skadliga och vi fortsätter att övervaka deras geografiska fördelning," sa Botezatu.

Adobe spårade kompromissen till en intern "build server" som hade tillgång till sin kodsigneringsinfrastruktur. "Vår undersökning är fortfarande pågående, men vid den här tiden verkar det som att den påverkade byggserveren först komprometterades i slutet av juli", säger Lips.

"Hittills har vi identifierat skadlig kod på byggservern och den troliga mekanismen som används för att först få tillgång till byggservern, "sa arkin. "Vi har också rättsmedicinska bevis som kopplar byggservern till undertecknandet av de skadliga verktygen."

Konfigurationen av byggservern var inte upp till Adobes företagsstandarder för en server av den här typen, sa Arkin. "Vi undersöker varför vår kodsigneringsåtkomstleveransprocess i det här fallet misslyckades med att identifiera dessa brister."

Det missbrukade kodsigneringscertifikatet utfärdades av VeriSign den 14 december 2010 och är planerat att återkallas vid Adobes begäran den 4 oktober. Denna operation kommer att påverka Adobe-programvaruprodukter som skrivits under 10 juli 2012.

"Detta påverkar endast Adobe-programvaran som är signerad med det påverkade certifikatet som körs på Windows-plattformen och tre Adobe AIR-program som körs på både Windows och Macintosh, säger Arkin.

Adobe publicerade en hjälpsida som listar de berörda produkterna och innehåller länkar till uppdaterade versioner signerade med ett nytt certifikat.

Symantec, som nu äger och driver VeriSign-certifikatmyndigheten, betonade att det missbrukade kodsigneringscertifikatet helt och hållet var under Adobes kontroll.

"Ingen av Symantecs kodsigneringscertifikat var i fara ", sa Symantec i torsdagen i ett mailat uttalande. "Detta var inte en kompromiss av Symantecs kodsigneringscertifikat, nätverk eller infrastruktur."

Adobe avvecklade sin kodsigneringsinfrastruktur och ersatte den med en interimsigneringstjänst som kräver att filer manuellt kontrolleras innan de undertecknas, säger Arkin. "Vi är på väg att utforma och distribuera en ny, permanent signeringslösning."

"Det är svårt att fastställa konsekvenserna av denna incident, för vi kan inte vara säkra på att endast de delade proven tecknades utan tillstånd" Botezatu sa. "Om lösenordsdumpningsapplikationen och SSL-biblioteket med öppen källkod är relativt oskyldiga kan det skurkiga ISAPI-filtret användas för man-i-mitten attacker - typiska attacker som manipulerar trafiken från användaren till servern och vice versa, bland annat, "sa han.