Car-tech

Hackerlar, Adobe sunucusundan taviz verdiler, kötü amaçlı dosyaları dijital olarak imzalamak için kullandılar

Belçika'nın en büyük reklam panosu hacklendi

Belçika'nın en büyük reklam panosu hacklendi
Anonim

Adobe, bilgisayar korsanlarının şirketin dahili sunucularından birini ele geçirdikten sonra bir kod imzalama sertifikasını iptal etmeyi planlıyor ve bunu iki kötü amaçlı yazılımı dijital olarak imzalamak için kullandı.

“ Perşembe günü, e-posta yoluyla yapılan yazılı açıklamada, Adobe'nin kurumsal iletişim sorumlusu Wiebke Lips'in, 12 Eylül akşamı geç saatlerde, tek bir izole (kaynaksız) kaynaktan gelen kötü amaçlı yazılımları aldık. “İmzaların geçerliliği teyit edildikten hemen sonra, imzaları oluşturmak için kullanılan sertifikayı devre dışı bırakmak ve iptal etmek için hemen adımları başlattık.”

Kötü amaçlı yazılımlardan biri, Pwdump7'nin 7.1 sürümünde halka açık bir şekilde imzalı bir kopyasıydı. Libeay32.dll OpenSSL kitaplığının imzalı bir kopyasını da içeren Windows hesap parolası çıkarma aracı.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

İkinci yardımcı program myGeeksmail.dll adlı bir ISAPI filtresiydi. HTTP akışlarını engellemek ve değiştirmek için ISAPI süzgeçleri IIS veya Apache for Windows Web sunucularına yüklenebilir.

İki sahtekarlık makinesi bir makinede ele geçirildikten sonra kullanılabilir ve büyük olasılıkla güvenlik yazılımı tarafından tarama yapıldığından Dijital imzalar, Adobe'den yasal olarak gelecektir.

Antivirüs konusunda üst düzey bir e-tehdit analisti olan Bogdan Botezatu, "Bazı antivirüs çözümleri Microsoft veya Adobe gibi güvenilir yazılım üreticilerinden gelen geçerli dijital sertifikalarla imzalanmış dosyaları taramaz." satıcı BitDefender. “Bu, saldırganlara büyük bir avantaj sağlayacaktır: Bu dosyalar yerel olarak kurulmuş AV tarafından algılanmış olsa bile, varsayılan olarak taramadan atlanacaklar ve bu da saldırganların sistemi sömürme şansını önemli ölçüde artıracaktır.”

Brad Arkin Adobe'nin ürün ve hizmetler için güvenlik kıdemli direktörü, bir blog yazısında, sahte kod örneklerinin Microsoft Etkin Koruma Programı (MAPP) ile paylaşıldığını ve böylece güvenlik satıcılarının bunları tespit edebildiğini yazdı. Adobe, “kullanıcıların büyük çoğunluğunun risk altında olmadığına” inanıyor çünkü imzalananlar gibi araçlar normalde “çok hedefli saldırılar” sırasında yaygın olarak kullanılmıyordu, diye yazıyordu.

“Şu anda, biz hepimizi işaretledik. Alınan örnekleri kötü niyetli olarak ve coğrafi dağılımlarını izlemeye devam ediyoruz, ”diyor Botezatu. BitDefender, MAPP'ye kayıtlı güvenlik satıcılarından biridir.

Ancak, Botezatu bu dosyaların herhangi birinin şirketin ürünleri tarafından korunan bilgisayarlarda aktif olarak algılandığını söyleyemedi. “Henüz söylemek için çok erken, ve henüz yeterli veriye sahip değiliz,” dedi. “

” “Alınan tüm örnekleri kötü niyetli olarak işaretledik ve coğrafi dağılımlarını izlemeye devam ediyoruz” diyor Botezatu.

Adobe, uzlaşmayı kod imzalayan altyapısına erişimi olan dahili bir “yapı sunucusu” nu izledi. “Soruşturmamız devam ediyor, ancak şu anda, etkilenen yapı sunucusunun Temmuz ayı sonunda ilk kez ele geçirildiği anlaşılıyor” dedi Lips. “

” “Bugüne kadar, yapım sunucusunda kötü amaçlı yazılım tespit ettik ve olası mekanizma İlk önce yapı sunucusuna erişim sağlayın, ”dedi. Arkin, “Yapı sunucusunu kötü amaçlı yazılımların imzalanmasına bağlayan adli kanıtlarımız da var.”

: Yapı sunucusunun yapılandırması, Adobe'nin bu doğadaki bir sunucu için kurumsal standartlarına uygun değildi. “Bu durumda kod imzalama erişim sağlama sürecimizin neden bu eksiklikleri belirleyemediğini araştırıyoruz.”

Kötüye kullanılan kod imzalama sertifikası 14 Aralık 2010'da VeriSign tarafından yayınlandı ve Adobe’de iptal edilmesi planlanıyor. Bu işlem, 10 Temmuz 2012'den sonra imzalanan Adobe yazılım ürünlerini etkileyecektir.

“Bu, sadece Windows platformu üzerinde çalışan Adobe yazılımını ve hem Windows hem de Macintosh'ta çalışan üç Adobe AIR uygulaması ile imzalanan Adobe yazılımını etkiler” dedi.

Adobe, etkilenen ürünleri listeleyen ve şunları içeren bir yardım sayfası yayınladı. Yeni bir sertifika ile imzalanmış güncellenmiş sürümlere bağlantılar.

Artık VeriSign sertifika yetkilisinin sahibi olan ve işleten Symantec, yanlış yazılmış kod imzalama sertifikasının tamamen Adobe'nin denetimi altında olduğunu vurguladı.

“Symantec'in kod imzalama sertifikalarının hiçbiri yok. risk altındaydı, ”diye ekledi Symantec Perşembe günü yaptığı açıklamada. Arkin, “Bu, Symantec'in kod imzalama sertifikaları, ağı veya altyapısının bir uzlaşması değildi.”

Adobe, kod imzalayan altyapısını hizmet dışı bıraktı ve bunu imzalanmadan önce dosyaların el ile kontrol edilmesini gerektiren geçici bir imzalama hizmeti ile değiştirdi. “Yeni, kalıcı bir imza çözümü tasarlama ve uygulama sürecindeyiz.”

“Bu olayın etkilerini belirlemek zor, çünkü sadece paylaşılan örneklerin izinsiz imzalandığından emin olamıyoruz” Botezatu dedi. “Parola oluşturma uygulaması ve açık kaynaklı SSL kitaplığı göreceli olarak zararsızsa, haydut ISAPI filtresi, ortadaki adam saldırıları için kullanılabilir - kullanıcının trafiği sunucuya yönlendiren tipik saldırılar veya tam tersi diğerleri arasında, ”dedi.