แฮกเกอร์ Compromise เซิร์ฟเวอร์ Adobe ใช้เพื่อลงชื่อแบบดิจิทัลในไฟล์ที่เป็นอันตราย

Adobe มีแผนจะยกเลิกใบรับรองการเซ็นรหัสหลังจากที่แฮกเกอร์บุกรุกเซิร์ฟเวอร์ภายในของ บริษัท เครื่องหนึ่งและใช้รหัสดิจิทัลเพื่อเซ็นชื่อโปรแกรมอรรถประโยชน์ที่เป็นอันตรายสองระบบ

เราได้รับโปรแกรมอรรถประโยชน์ที่เป็นอันตรายในตอนเย็นของวันที่ 12 กันยายนจากแหล่งข้อมูลที่ไม่ได้ตั้งชื่อไว้เพียงอย่างเดียว "Wiebke Lips ผู้จัดการอาวุโสฝ่ายสื่อสารองค์กรของ Adobe กล่าวว่าวันนี้ทางอีเมล "ทันทีที่ความถูกต้องของลายเซ็นได้รับการยืนยันแล้วเราได้ริเริ่มขั้นตอนในการปิดใช้งานและยกเลิกใบรับรองที่ใช้ในการสร้างลายเซ็น"

หนึ่งในสาธารณูปโภคที่เป็นอันตรายคือสำเนา Pwdump7 เวอร์ชัน 7.1 ที่มีการเซ็นชื่อแบบดิจิทัล เครื่องมือการดึงรหัสผ่านบัญชี Windows ซึ่งรวมถึงสำเนาไลบรารี OpenSSL ที่ลงนาม

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

ยูทิลิตีตัวที่สองคือตัวกรอง ISAPI ที่เรียกว่า myGeeksmail.dll สามารถติดตั้งตัวกรอง ISAPI ในเซิร์ฟเวอร์ IIS หรือ Apache สำหรับ Windows เพื่อดักจับและปรับเปลี่ยนสตรีม

เครื่องมือสองตัวนี้สามารถใช้บนเครื่องหลังจากที่ถูกบุกรุกและอาจผ่านการสแกนโดยซอฟต์แวร์รักษาความปลอดภัยเนื่องจาก ลายเซ็นดิจิตอลจะปรากฏถูกต้องตามกฎหมายมาจาก Adobe

"โซลูชันป้องกันไวรัสบางอย่างไม่สแกนไฟล์ที่เซ็นชื่อด้วยใบรับรองดิจิทัลที่ถูกต้องซึ่งมาจากผู้ผลิตซอฟต์แวร์ที่น่าเชื่อถือเช่น Microsoft หรือ Adobe" Bogdan Botezatu นักวิเคราะห์ซอฟต์แวร์ด้านไวรัสระดับสูงของแอนตี้ไวรัสกล่าว ผู้จำหน่าย BitDefender "นี่จะทำให้ผู้บุกรุกได้รับประโยชน์อย่างมาก: แม้ว่าไฟล์เหล่านี้จะได้รับการตรวจพบโดย AV ที่ติดตั้งอยู่ในเครื่อง แต่ก็จะถูกข้ามไปตามค่าเริ่มต้นจากการสแกนซึ่งช่วยเพิ่มโอกาสในการโจมตีระบบได้อย่างมาก"

"ในขณะนี้เราได้ตั้งค่าสถานะทั้งหมด ตัวอย่างที่ได้รับเป็นอันตรายและเรายังคงติดตามการกระจายทางภูมิศาสตร์ของพวกเขา "Botezatu กล่าว BitDefender เป็นหนึ่งในผู้ให้บริการความปลอดภัยที่ลงทะเบียนใน MAPP

อย่างไรก็ตาม Botezatu ไม่สามารถระบุได้ว่ามีการตรวจพบไฟล์เหล่านี้ในคอมพิวเตอร์ที่ได้รับการป้องกันโดยผลิตภัณฑ์ของ บริษัท หรือไม่ "ยังเร็วเกินไปที่จะบอกได้และเรายังไม่มีข้อมูลเพียงพอ" เขากล่าว "ในตอนนี้เราได้ตั้งข้อสังเกตว่าตัวอย่างทั้งหมดที่ได้รับเป็นอันตรายและเรายังคงติดตามการกระจายทางภูมิศาสตร์ของพวกเขาอยู่เสมอ" Botezatu กล่าว

Adobe ตรวจสอบย้อนกลับการประนีประนอมกับ "build server" ภายในที่เข้าถึงโครงสร้างพื้นฐานการเซ็นรหัส "การตรวจสอบของเรายังคงดำเนินต่อไป แต่ในเวลานี้ดูเหมือนว่าเซิร์ฟเวอร์ที่สร้างผลกระทบได้รับผลกระทบในช่วงปลายเดือนกรกฎาคมเป็นครั้งแรก" Lips กล่าว "ในปัจจุบันเราได้ระบุมัลแวร์ในเซิร์ฟเวอร์ที่สร้างขึ้นและกลไกที่ใช้ แรกได้รับการเข้าถึงเซิร์ฟเวอร์สร้าง "Arkin กล่าว "เรามีหลักฐานทางนิติวิทยาศาสตร์ที่เชื่อมโยงเซิร์ฟเวอร์สร้างเข้ากับการลงนามในยูทิลิตีที่เป็นอันตราย"

การกำหนดค่าเซิร์ฟเวอร์สร้างไม่ได้เป็นไปตามมาตรฐานของ บริษัท Adobe สำหรับเซิร์ฟเวอร์ในลักษณะนี้ Arkin กล่าว "เรากำลังตรวจสอบว่าเหตุใดขั้นตอนการเตรียมการเข้าถึงการลงนามโค้ดของเราในกรณีนี้จึงไม่สามารถระบุข้อบกพร่องเหล่านี้ได้"

VeriSign ได้รับการเซ็นชื่อรหัสที่ใช้ผิดพลาดในวันที่ 14 ธันวาคม 2010 และมีกำหนดจะถูกเพิกถอนจาก Adobe's ในวันที่ 4 ตุลาคมการดำเนินการนี้จะส่งผลต่อผลิตภัณฑ์ซอฟต์แวร์ Adobe ที่ลงนามหลังจากวันที่ 10 กรกฎาคม 2555

"นี่มีผลต่อซอฟต์แวร์ Adobe ที่ลงนามร่วมกับใบรับรองที่ได้รับผลกระทบที่ทำงานบนแพลตฟอร์ม Windows และโปรแกรม Adobe AIR สามโปรแกรมที่ทำงานบนทั้ง Windows และ Macintosh" Arkin กล่าวว่า

Adobe เผยแพร่หน้าความช่วยเหลือที่แสดงรายการผลิตภัณฑ์ที่ได้รับผลกระทบและมี เชื่อมโยงไปยังเวอร์ชันที่อัปเดตที่ลงนามกับใบรับรองใหม่

ไซแมนเทคซึ่งเป็นเจ้าของและดำเนินการผู้มีสิทธิ์ออกใบรับรอง VeriSign กล่าวว่า "ใบรับรองการเซ็นชื่อโค้ดที่ใช้ผิดพลาดอยู่ภายใต้การควบคุมของ Adobe

" ไม่มีใบรับรองการเซ็นรหัสของไซแมนเทค มีความเสี่ยง "ไซแมนเทคกล่าวในแถลงการณ์ทางอีเมลเมื่อวันพฤหัสบดี "นี่ไม่ใช่การประนีประนอมด้านใบรับรองใบรับรองเครือข่ายหรือโครงสร้างพื้นฐานของ Symantec"

Adobe เลิกใช้โครงสร้างการเซ็นรหัสและแทนที่ด้วยบริการลงนามแบบชั่วคราวซึ่งต้องใช้ไฟล์ที่ต้องตรวจสอบด้วยตัวเองก่อนที่จะถูกเซ็นชื่อ Arkin กล่าว "เรากำลังอยู่ในระหว่างการออกแบบและใช้โซลูชันการลงนามถาวรฉบับใหม่"

"เป็นการยากที่จะกำหนดความหมายของเหตุการณ์นี้เพราะเราไม่สามารถมั่นใจได้ว่าเฉพาะตัวอย่างที่แชร์เท่านั้นที่ลงนามโดยไม่ได้รับอนุญาต" Botezatu กล่าวว่า "ถ้าแอ็พพลิเคชัน dumper รหัสผ่านและไลบรารี SSL แบบโอเพนซอร์สไม่น่ากลัวนักระบบสามารถใช้ตัวกรอง ISAPI หลอกลวงเพื่อโจมตีแบบแมนนอล - การโจมตีทั่วไปที่จัดการกับการเข้าชมจากผู้ใช้ไปยังเซิร์ฟเวอร์และในทางกลับกัน, หมู่คนอื่น ๆ "เขากล่าว