image

Hackers signeren malware met Adobe certificaat

vrijdag 28 september 2012, 09:37 door Redactie, 10 reacties

Aanvallers zijn erin geslaagd om bij Adobe in te breken om uiteindelijk malware met Adobe's eigen certificaten te signeren. De hack werd ontdekt nadat er twee kwaadaardige tools waren gevonden die een geldig Adobe code signing certificaat gebruikten. De tools waren tegen één doelwit ingezet. Het gaat om een exemplaar van pwdump7 v7.1, een programma dat wachtwoord-hashes uit Windows haalt en myGeeksmail.dll, een ISAPI-filter. Dit filter, wat niet publiek beschikbaar zou zijn, stuurt internetverkeer op webservers door.

Na de ontdekking heeft Adobe de bestaande infrastructuur om code mee te signeren offline gehaald en een forensisch onderzoek ingesteld. Dit onderzoek leidde naar een gehackte server die toegang tot de 'code signing' infrastructuur had. Volgens Adobe voldeed de configuratie van de gehackte server niet aan de bedrijfsstandaard, maar was dit niet opgemerkt. Wat de standaard precies is laat Adobe niet weten.

Intrekken
Adobe gaat op 4 oktober het gebruikte certificaat in kwestie intrekken en updates voor bestaande Adobe software uitgeven die ook het certificaat gebruiken. De updates verschijnen alleen voor Adobe software die op Windows draait en drie Adobe AIR applicaties die zowel op Windows als Mac draaien.

Op Twitter laat Mikko Hypponen van het Finse F-Secure weten dat het bedrijf over meer dan 5000 bestanden beschikt die met het certificaat zijn gesigneerd, maar dat er slechts drie kwaadaardige bestanden tussen zitten.

Adobe stelt in een verklaring dat aanvallers de gesigneerde malware waarschijnlijk voor gerichte aanvallen hebben gebruikt en dat daardoor de meeste gebruikers geen risico lopen. Inmiddels is de gevonden malware ook met het Microsoft Active Protection Program (MAPP) gedeeld, zodat anti-virusbedrijven de kwaadaardige code kunnen herkennen.

Reacties (10)
28-09-2012, 09:59 door Bitwiper
Door Redactie: Adobe gaat op 4 oktober het gebruikte certificaat in kwestie intrekken
Wow! Volgende maand al (ervan uitgaande dat 2012 bedoeld wordt)?
28-09-2012, 10:25 door Anoniem
Toch fijn dat de grote technologiebedrijven zo "zuinig" op hun certificaten zijn... Maar niet zuinig genoeg!

Het meest zorgelijke vind ik dat zowel Adobe als laatst Microsoft er pas achter komen dat hun certificaten vervalst / gestolen zijn als er malware opduikt die het gebruikt.
28-09-2012, 10:29 door Anoniem
Adobe stelt in een verklaring dat aanvallers de gesigneerde malware waarschijnlijk voor gerichte aanvallen hebben gebruikt en dat daardoor de meeste gebruikers geen risico lopen.
Nee, maar de mensen waar deze aanval tegen gericht is zijn wel van de categorie 'High Value'...
28-09-2012, 11:06 door [Account Verwijderd]
[Verwijderd]
28-09-2012, 11:25 door Anoniem
Door Bitwiper: [...] Wow! Volgende maand al (ervan uitgaande dat 2012 bedoeld wordt)?[/quote]Inderdaad, lekker adequate certificate revocation procedure...
28-09-2012, 11:34 door WhizzMan
Zouden we dan ook een update van Flash voor Linux krijgen?
28-09-2012, 11:48 door Anoniem
Adobe komt met een update op 4 oktober a.s., maar hoe weet je dan 100% zeker dat het ook inderdaad van Adobe komt, gezien deze hack ?
Adobe en Oracle zijn onderhand een flinke 'pain in the ass' geworden.
28-09-2012, 12:26 door Anoniem
Door Peter V: Maar dit zou toch meteen moeten opvallen?

Software dat niet van Adobe is, en gesigneerd met een certificaat van Adobe...Ik bedoel maar.
Ik verwacht dat ze een Microsoft Authenticode Certificaat bedoelen. Die geeft niet automatish andere rechten ofzo. Alleen
Doet bijvoorbeeld de browser dan niet meer vragen van "The publisher of this progroma could not be veriefied.. bla bla bla"
En AntiVirus software kan wat toleranter worden. Het zal het doewlit dus niet zo opvallen.
01-10-2012, 10:11 door Anoniem
Als ze 4 oktober het certificaat gaan revoken, waar blijft dan de update van flash player?
Was toch wel fijn geweest als die er dit weekend al geweest was.
Of heeft het revoken van het certificaat geen invloed op het gebruik van flash player?
01-10-2012, 11:16 door Anoniem
Door Anoniem: Als ze 4 oktober het certificaat gaan revoken, waar blijft dan de update van flash player?
Was toch wel fijn geweest als die er dit weekend al geweest was.
Of heeft het revoken van het certificaat geen invloed op het gebruik van flash player?
(antwoord op mezelf)
Inmiddels de forum thread gezien, en ik denk dat het antwoord is dat de raadselachtige .278 update al de update was waar het hier om ging, en dat het geen bal uitmaakt of dat je die nu meteen installeert omdat het certificaat zowizo toch niet gechecked wordt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.