Car-tech

ハッカーがAdobeサーバーを侵害し、悪質なファイルにデジタル署名するために使用

Anonim

ハッカーが社内のサーバーの1つを侵害し、2つの悪意のあるユーティリティにデジタル署名するために使用した後、Adobeはコード署名証明書を取り消す予定です。われわれは9月12日の夜遅く、単一の独立した(名前のない)ソースから悪意のあるユーティリティーを受け取った」と語った.Webke Lips氏は、 「署名の正当性が確認されると直ちに、シグネチャを生成するために使用された証明書を無効にして取り消す手順をすぐに開始しました。」悪質なユーティリティの1つは、Pwdump7バージョン7.1のデジタル署名されたコピーで、

[詳細:Windows PCからマルウェアを削除する方法]

2番目のユーティリティは、myGeeksmail.dllというISAPIフィルタでした。 HTTPストリームを傍受して変更するために、ISAPIフィルタをWindows Webサーバー用のIISまたはApacheにインストールすることができます。

2つの不正なツールは、侵害された後にコンピュータ上で使用でき、マイクロソフトやアドビなどの信頼できるソフトウェアメーカーが提供する有効なデジタル証明書で署名されたファイルをスキャンすることはありません」と、アンチウイルスの上級電子脅威アナリスト、ボグダン・ボテザトゥ氏は語っています。ベンダBitDefender。これは、攻撃者に大きな利点をもたらします。たとえこれらのファイルがローカルにインストールされたAVによって発見的に検出されたとしても、デフォルトでスキャンからスキップされるため、攻撃者がシステムを悪用する可能性が大幅に高まります。 "

Brad Arkinアドビの製品やサービスのシニアディレクター、ブログの記事では、悪質なコードサンプルがMicrosoft Active Protection Program(MAPP)と共有されているため、セキュリティベンダーがそれらを検出できるようになっています。アドビは、署名されたもののようなツールは、「高度に標的化された攻撃」で普及しているため、「大部分のユーザーは危険にさらされていない」と考えている。受け取ったサンプルを悪意のあるものとみなし、地理的分布を監視し続ける」と述べた。 BitDefenderはMAPPに登録されているセキュリティベンダーの1つです。しかし、Botezatuは、これらのファイルのいずれかが、自社製品で保護されたコンピュータで積極的に検出されたかどうかは言えませんでした。 「現時点では、受信したすべてのサンプルを悪意のあるものとフラグ付けし、地理的分布を監視し続けている」とボテザトゥ氏は述べた。 Adobeは、そのコード署名インフラストラクチャへのアクセス権を持つ社内の「構築サーバー」への妥協案を追跡しました。 「調査はまだ進行中ですが、現時点では影響を受けたビルドサーバーが7月下旬に最初に侵害されたようです」とLips氏は述べています。最初に構築サーバーへのアクセス権を得ることができます」とArkin氏は述べています。アーキン氏によると、ビルドサーバーと悪意のあるユーティリティーの署名を結びつける法医学的証拠もある」。アーキン氏によると、ビルドサーバーの構成は、Adobeの企業標準に準拠していないという。 「このコード署名アクセス・プロビジョニング・プロセスがこのような欠陥を特定できなかった理由を調査しています」

悪用されたコード署名証明書は、VeriSignによって2010年12月14日に発行され、Adobeのこの操作は、2012年7月10日以降に署名されたAdobeソフトウェア製品に影響します。

「これは、WindowsプラットフォームとWindowsとMacintoshの両方で動作する3つのAdobe AIRアプリケーションで動作する影響を受けた証明書で署名されたAdobeソフトウェアにのみ影響を与えます」とArkin氏は述べています。

VeriSign認証局の所有および運営を行っているシマンテックは、悪用されたコード署名証明書が完全にAdobeの管理下にあることを強調している

「シマンテックのコード署名証明書シマンテックはメールで声明を発表した。 「これはシマンテックのコード署名証明書、ネットワーク、インフラストラクチャの妥協ではありませんでした。」Adobeはコード署名インフラストラクチャを廃止し、署名前に手動でファイルをチェックする必要がある暫定署名サービスに置き換えました。 「私たちは新しい恒久的な署名ソリューションを設計して展開しています。」この事件の影響を特定するのは難しいです。共有サンプルのみが承認なしで署名されたことを確認できないためです。 Botezatuは言った。 「パスワードダンパーアプリケーションとオープンソースのSSLライブラリが比較的無害な場合、悪意のあるISAPIフィルタは、ユーザーからサーバーへのトラフィックを操作する典型的な攻撃、またはその逆のような中間者の攻撃に使用できます"と彼は言った。