Adobe zero-day gebruikt valse Microsoft certificaten

17-12-2009,16:28 doorRedactie

Het zero-day beveiligingslek in Adobe Reader en Adobe Acrobat dat actief wordt misbruikt door hackers, is ook voor een andere reden interessant. De exploit downloadt en installeert verschillende legitiem lijkende Windows bestanden die met een vals Microsoft security certificaat getekend zijn, iets wat zelden voorkomt. De digitale handtekening geeft doorsnee gebruikers de indruk dat de bestanden, een executable en DLL genaamd LNETCPL, legitieme Microsoft componenten zijn, aldus Andrew Brandt van Webroot. Hij merkt verder op dat de aanval niet alleen wordt ingezet bij gerichte aanvallen, maar ook voor drive-by downloads.

Zeldzaam
Wie goed naar de certificaten kijkt ziet de naam van Microsoft staan, zowel een e-mailadres als datum ontbreken echter. De signatures worden wel ongeldig genoemd, maar dat is alleen als men de Details van het certificaat opvraagt. De certificaten zijn waarschijnlijk via Microsoft's eigen Certificate Creation Tool gemaakt.

"Hoewel we verschillende digitaal getekende bestanden bij ons onderzoek over de afgelopen jaren hebben gezien, doen virusschrijvers meestal niet de moeite om bestanden op deze manier te signeren." Brandt weet niet waarom de aanvallers dit hebben gedaan, "maar het voorspelt niet veel goeds". Adobe liet gisteren weten dat het de kwetsbaarheid in 2010 gaat patchen.

Iraans cyberleger "hackt" Twitter

Microsoft stopt ondersteuning Windows XP SP2

Reacties

17-12-2009,

17:55 door

spatieman

+0 Rating:

Quote deze reactie | Reactie niet OK

lekker dan..
en waarom de sigs niet afgemaakt zijn?
wie klikt nu verder op het ding om te kijken waar het afkomstig is..

18-12-2009,

00:28 door

Bitwiper

Hmm, het was mij ook al opgevallen dat de "dropper" ab.exe voorzien was van een digitale handtekening (en een self-signed root certificate), zie mijn comment onder http://isc.sans.org/diary.html?storyid=7747.

Vreemd alleen dat ik in de "properties | digital signature " dialogbox een andere (onverwachte) foutmelding kreeg dan Andrew Brandt. Ik kreeg op mijn fully patched XP SP3 systeem: "The digital signature of the object did not verify."

Andrew meldt (zie http://webrootblog.files.wordpress.com/2009/12/20091215_certispaz_badsig_cert.jpg): "This certificate cannot be verified upto a trusted certification authority." en dat is de foutmelding die ik eigenlijk ook verwachtte.

Ik vermoed dat Andrew iets nieuwers dan XP SP3 gebruikt, en er nog wat bugjes in XP zitten. Kennelijk is er een goede reden voor de malwaremakers om te rommelen met certificaten. Wellicht dat er ook virusscanners zijn die -schijnbaar correct- door "Microsoft" gesigneerde executables whitelisten om false positives zoveel mogelijk te voorkomen.

Door spatieman: en waarom de sigs niet afgemaakt zijn?

Ze zijn in zoverre niet afgemaakt dat sommige waarden erin ontbreken, maar die zijn niet kritisch. Wat de foutmelding oplevert (of zou moeten opleveren) is dat het certificaat met de digitale handtekening van het bestand niet door een trusted certificate authority is ondertekend (trusted root certificates zijn die dingen de in de certificate store onder Windows zijn opgeslagen).

In plaats daarvan wordt er in het bestand een self signed root certificate meegeleverd. En dat self signed root certificate in ab.exe is wat Microsoft's makecert.exe by default gebruikt: een CA certificaat uitgegeven door "Root Agency" (zie http://msdn.microsoft.com/en-us/library/ms733813.aspx) en met serienummer "06 37 6c 00 aa 00 64 8a 11 cf b8 d4 aa 5c 35 f4". Met zo'n niet erkend root certificate is het een koud kunstje een bestand digitaal te ondertekenen zogenaamd door Microsoft.

Wat zou kunnen is dat de malwaremakers hopen dat softwareontwikkelaars dat "Root Agency" certificaat in de certificate store van hun PC hebben opgenomen om het testen te vergemakkelijken. En misschien zijn er wel bedrijven waar zelf-ontwikkelde software wordt gebruikt en waar dat default "Root Agency" certificaat op alle PC's is geinstalleerd... (ik vermoed dat Windows eerst in de certificate store zoekt naar intermediate en root certificaten, en alleen als daar niets gevonden wordt, pas in het bestand zelf).

wie klikt nu verder op het ding om te kijken waar het afkomstig is..

Ik. En niet alleen als ik iets download waarvan ik zo goed als zeker weet dat het malware is (alhoewel maar een paar virusscanners daar op 15 december van overtuigd waren, zie http://www.virustotal.com/analisis/d6afb2a2e7f2afe6ca150c1fade0ea87d9b18a8e77edd7784986df55a93db985-1260880398)...

10:52 door

Didier Stevens

Eerst dacht ik dat het om de "gestolen" Microsoft certificaten ging: http://www.microsoft.com/technet/security/bulletin/MS01-017.mspx

Volgende stap zal waarschijnlijk met Openssl zijn: http://blog.didierstevens.com/2008/12/30/howto-make-your-own-cert-with-openssl/

Maar het kan ook om een "vergissing" gaan: nl. dat de malware authors een Visual Studio project (met code signing) gekopieerd hebben en dan aangepast hebben, zonder dat ze authenticode in de gaten hadden.

12:57 door

bitwiper, true.
ook ik klik altijd verder.
maar de regulaire gebruiker kijkt niet verder als het kabeltje aan zijn muis kort is..

15:32 door

Door Bitwiper: Ik. En niet alleen als ik iets download waarvan ik zo goed als zeker weet dat het malware is ...

Ik ook. Het is zo dat ik gemerkt heb dat de Microsoft COFEE tool op Wikileaks geen authenticode signature heeft. Heel vreemd voor Microsoft.

E-mail:
Wachtwoord:
Blijf 30 dagen ingelogd
Wachtwoord kwijt? Account aanmaken

Login