Les pirates informatiques compromettent le serveur Adobe, l'utilisent pour signer numériquement des fichiers malveillants

Adobe prévoit de révoquer un certificat de signature de code après que des pirates ont compromis l'un des serveurs internes de l'entreprise et l'ont utilisé pour signer numériquement deux utilitaires malveillants.

" Nous avons reçu les utilitaires malveillants en fin de soirée du 12 septembre à partir d'une source isolée et anonyme ", a déclaré jeudi Wiebke Lips, directeur principal des communications d'entreprise chez Adobe. "Dès que la validité des signatures a été confirmée, nous avons immédiatement pris des mesures pour désactiver et révoquer le certificat utilisé pour générer les signatures."

L'un des utilitaires malveillants était une copie signée numériquement de Pwdump7 version 7.1, un Outil d'extraction de mot de passe de compte Windows qui comprenait également une copie signée de la bibliothèque OpenSSL libeay32.dll

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Le deuxième utilitaire était un filtre ISAPI appelé myGeeksmail.dll. Les filtres ISAPI peuvent être installés dans les serveurs Web IIS ou Apache pour Windows afin d'intercepter et de modifier les flux

Les deux outils malveillants peuvent être utilisés sur une machine après qu'elle a été compromise et qu'elle passera probablement par un logiciel de sécurité. «Certaines solutions antivirus ne scannent pas les fichiers signés avec des certificats numériques valides provenant de fabricants de logiciels fiables tels que Microsoft ou Adobe», a déclaré Bogdan Botezatu, analyste senior des menaces électroniques chez antivirus. vendeur BitDefender. "Cela donnerait un avantage énorme aux attaquants: même si ces fichiers étaient détectés heuristiquement par l'AV installé localement, ils seraient ignorés par défaut de l'analyse, ce qui augmente considérablement les chances d'exploiter le système."

Brad Arkin, Directeur principal de la sécurité des produits et services d'Adobe, a écrit dans un article de blog que les échantillons de code voyous ont été partagés avec le programme Microsoft Active Protection Program (MAPP) afin que les fournisseurs de sécurité puissent les détecter. Adobe estime que "la grande majorité des utilisateurs ne sont pas en danger" parce que des outils comme ceux qui ont été signés sont normalement utilisés lors d'attaques "très ciblées", at-il écrit.

"En ce moment, nous avons signalé les échantillons reçus sont malveillants et nous continuons à surveiller leur distribution géographique ", a déclaré Botezatu. BitDefender est l'un des fournisseurs de sécurité inscrits dans MAPP.

Cependant, Botezatu ne pouvait pas dire si l'un de ces fichiers était activement détecté sur les ordinateurs protégés par les produits de l'entreprise. "Il est encore trop tôt pour le dire, et nous n'avons pas encore assez de données", at-il dit.

"Pour l'instant, nous avons signalé tous les échantillons reçus comme malveillants et nous continuons à surveiller leur distribution géographique", a déclaré Botezatu.

Adobe a retracé le compromis à un «serveur de construction» interne qui avait accès à son infrastructure de signature de code. "Notre enquête est toujours en cours, mais pour le moment, il semble que le serveur de build impacté ait été compromis à la fin du mois de juillet."

"Jusqu'à présent, nous avons identifié des logiciels malveillants sur le serveur de build. d'abord accéder au serveur de construction ", a déclaré Arkin. "Nous avons également des preuves médico-légales liant le serveur de construction à la signature des utilitaires malveillants."

La configuration du serveur de construction n'était pas à la hauteur des standards d'Adobe pour un serveur de cette nature, a déclaré Arkin. «Nous étudions pourquoi notre processus de provisioning d'accès à la signature de code n'a pas identifié ces défaillances.»

Le certificat de signature de code mal utilisé a été émis par VeriSign le 14 décembre 2010 et doit être révoqué chez Adobe. demande le 4 octobre. Cette opération aura une incidence sur les produits logiciels Adobe qui ont été signés après le 10 juillet 2012.

"Cela n'affecte que le logiciel Adobe signé avec le certificat impacté qui s'exécute sur la plate-forme Windows et trois applications Adobe AIR qui fonctionnent sur Windows et Macintosh", a déclaré Arkin.

Adobe a publié une page d'aide répertoriant les produits concernés.

Symantec, qui possède et exploite désormais l'autorité de certification VeriSign, a souligné que le certificat de signature de code utilisé abusivement était entièrement sous le contrôle d'Adobe.

"Aucun des certificats de signature de code de Symantec étaient en danger ", a déclaré Symantec jeudi dans une déclaration par courrier électronique. "Ce n'était pas une compromission des certificats, du réseau ou de l'infrastructure de signature de code de Symantec."

Adobe a mis hors service son infrastructure de signature de code et l'a remplacé par un service de signature intérimaire. «Nous sommes en train de concevoir et de déployer une nouvelle solution de signature permanente.»

«Il est difficile de déterminer les implications de cet incident, car nous ne pouvons pas être sûrs que seuls les échantillons partagés ont été signés sans autorisation» Botezatu a dit. "Si l'application de suppression de mot de passe et la bibliothèque SSL open-source sont relativement inoffensives, le filtre ISAPI peut être utilisé pour les attaques man-in-the-middle - attaques typiques qui manipulent le trafic de l'utilisateur vers le serveur et inversement entre autres ", at-il dit.