Los piratas informáticos ponen en peligro el servidor Adobe, lo utilizan para firmar digitalmente archivos maliciosos

Adobe planea revocar un certificado de firma de código después de que los piratas informáticos pusieran en peligro uno de los servidores internos de la compañía y lo usen para firmar digitalmente dos utilidades maliciosas. Recibimos las utilidades maliciosas a última hora de la tarde del 12 de septiembre de una única fuente aislada (sin nombre) ", dijo el jueves por correo electrónico Wiebke Lips, gerente senior de comunicaciones corporativas de Adobe. "Tan pronto como se confirmó la validez de las firmas, iniciamos de inmediato los pasos para desactivar y revocar el certificado utilizado para generar las firmas".

Una de las utilidades maliciosas era una copia firmada digitalmente de Pwdump7 versión 7.1, disponible públicamente. Herramienta de extracción de contraseña de la cuenta de Windows que también incluía una copia firmada de la biblioteca de OpenSSL de libeay32.dll.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

La segunda utilidad era un filtro ISAPI llamado myGeeksmail.dll. Los filtros ISAPI se pueden instalar en IIS o Apache para servidores web Windows con el fin de interceptar y modificar flujos Las dos herramientas falsas podrían usarse en una máquina una vez comprometida y probablemente pasaría un escaneo por software de seguridad ya que su las firmas digitales parecerían legítimas provenientes de Adobe.

"Algunas soluciones antivirus no escanean archivos firmados con certificados digitales válidos provenientes de fabricantes de software confiables como Microsoft o Adobe", dijo Bogdan Botezatu, un analista senior de e-threat en antivirus vendedor BitDefender. "Esto les daría a los atacantes una gran ventaja: incluso si estos archivos fueran detectados heurísticamente por el AV instalado localmente, serían omitidos por defecto del escaneo, lo que mejoraría dramáticamente las posibilidades de los atacantes de explotar el sistema".

Brad Arkin, El director senior de seguridad de productos y servicios de Adobe, escribió en una publicación de blog que los ejemplos del código fraudulento se han compartido con el Programa de protección activa de Microsoft (MAPP) para que los proveedores de seguridad puedan detectarlos. Adobe cree que "la gran mayoría de los usuarios no está en riesgo" porque las herramientas como las que se firmaron normalmente se usan durante "ataques altamente dirigidos", no los generalizados, escribió.

"Por el momento, hemos marcado todos las muestras recibidas son maliciosas y seguimos monitoreando su distribución geográfica ", dijo Botezatu. BitDefender es uno de los vendedores de seguridad inscritos en MAPP.

Sin embargo, Botezatu no pudo decir si alguno de estos archivos se detectó activamente en computadoras protegidas por los productos de la compañía. "Es muy temprano para decirlo, y todavía no tenemos suficientes datos", dijo.

"Por el momento, hemos marcado todas las muestras recibidas como maliciosas y seguimos monitoreando su distribución geográfica", dijo Botezatu.

Adobe remontó el compromiso a un "servidor de compilación" interno que tenía acceso a su infraestructura de firma de código. "Nuestra investigación aún está en curso, pero en este momento, parece que el servidor de construcción afectado se vio comprometido por primera vez a fines de julio", dijo Lips.

"Hasta la fecha hemos identificado malware en el servidor de compilación y el mecanismo probable utilizado para primero obtenga acceso al servidor de compilación ", dijo Arkin. "También tenemos evidencia forense que vincula el servidor de compilación con la firma de las utilidades maliciosas".

La configuración del servidor de compilación no estaba a la altura de los estándares corporativos de Adobe para un servidor de esta naturaleza, dijo Arkin. "Estamos investigando por qué nuestro proceso de aprovisionamiento de acceso de firma de código en este caso no identificó estas deficiencias".

VeriSign emitió el certificado de firma de código mal usado el 14 de diciembre de 2010, y está previsto que se revoque en Adobe. solicitud el 4 de octubre. Esta operación tendrá un impacto en los productos de software de Adobe que se firmaron después del 10 de julio de 2012.

"Esto solo afecta el software de Adobe firmado con el certificado afectado que se ejecuta en la plataforma Windows y tres aplicaciones de Adobe AIR que se ejecutan tanto en Windows como en Macintosh", dijo Arkin.

Adobe publicó una página de ayuda que enumera los productos afectados y contiene enlaces a versiones actualizadas firmadas con un nuevo certificado.

Symantec, que ahora posee y opera la autoridad de certificación VeriSign, destacó que el certificado de firma de código mal utilizado estaba enteramente bajo el control de Adobe.

"Ninguno de los certificados de firma de código de Symantec estaban en riesgo ", dijo Symantec el jueves en un comunicado enviado por correo electrónico. "Este no fue un compromiso de los certificados, la red o la infraestructura de firma de código de Symantec".

Adobe desmanteló su infraestructura de firma de código y la reemplazó con un servicio de firma provisional que requiere que los archivos sean revisados ​​manualmente antes de ser firmados, dijo Arkin. "Estamos en el proceso de diseñar e implementar una nueva solución de firma permanente".

"Es difícil determinar las implicaciones de este incidente, porque no podemos estar seguros de que solo las muestras compartidas se hayan firmado sin autorización". Botezatu dijo. "Si la aplicación de descarga de contraseñas y la biblioteca de código abierto SSL son relativamente inocuas, el filtro ISAPI falso puede usarse para ataques de hombre en el medio, ataques típicos que manipulan el tráfico del usuario al servidor y viceversa., entre otros ", dijo.