Peretas menyusupi server Adobe, menggunakannya untuk menandatangani file berbahaya secara digital

Adobe berencana untuk mencabut sertifikat penandatanganan kode setelah peretas mengompromikan salah satu server internal perusahaan dan menggunakannya untuk menandatangani dua utilitas jahat secara digital.

“ Kami menerima utilitas jahat di sore hari pada 12 September dari sumber tunggal, terisolasi (tanpa nama), ”kata Wiebke Lips, manajer senior komunikasi korporat di Adobe, Kamis melalui email. “Segera setelah validitas tanda tangan dikonfirmasi, kami segera memulai langkah-langkah untuk menonaktifkan dan mencabut sertifikat yang digunakan untuk menghasilkan tanda tangan.”

Salah satu utilitas jahat adalah salinan yang ditandatangani secara digital Pwdump7 versi 7.1, yang tersedia untuk umum Alat ekstraksi kata sandi akun Windows yang juga menyertakan salinan perpustakaan libleay32.dll OpenSSL yang ditandatangani.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Utilitas kedua adalah filter ISAPI yang disebut myGeeksmail.dll. Filter ISAPI dapat dipasang di IIS atau Apache untuk server Windows Web untuk mencegat dan memodifikasi aliran

Dua alat jahat dapat digunakan pada mesin setelah disusupi dan kemungkinan akan lolos pemindaian oleh perangkat lunak keamanan karena tanda tangan digital akan tampak sah berasal dari Adobe.

"Beberapa solusi antivirus tidak memindai file yang ditandatangani dengan sertifikat digital valid yang berasal dari pembuat perangkat lunak tepercaya seperti Microsoft atau Adobe," kata Bogdan Botezatu, analis e-ancaman senior di antivirus vendor BitDefender. "Ini akan memberi para penyerang keuntungan yang sangat besar: Bahkan jika file-file ini secara heuristik terdeteksi oleh AV yang dipasang secara lokal, mereka akan dilewati secara default dari pemindaian, yang secara dramatis meningkatkan kesempatan penyerang untuk mengeksploitasi sistem."

Brad Arkin, Direktur senior keamanan produk dan layanan Adobe, menulis dalam posting blog bahwa contoh kode nakal telah dibagikan dengan Microsoft Active Protection Program (MAPP) sehingga vendor keamanan dapat mendeteksi mereka. Adobe percaya "sebagian besar pengguna tidak berisiko" karena alat seperti yang ditandatangani biasanya digunakan selama "serangan yang sangat ditargetkan," bukan yang luas, tulisnya.

"Saat ini, kami telah menandai semua sampel yang diterima sebagai berbahaya dan kami terus memantau distribusi geografis mereka, ”kata Botezatu. BitDefender adalah salah satu vendor keamanan yang terdaftar di MAPP.

Namun, Botezatu tidak dapat mengatakan jika salah satu dari file-file ini secara aktif terdeteksi pada komputer yang dilindungi oleh produk perusahaan. "Masih terlalu dini untuk mengatakan, dan kami belum memiliki data yang cukup," katanya.

"Saat ini, kami telah menandai semua sampel yang diterima sebagai berbahaya dan kami terus memantau distribusi geografis mereka," kata Botezatu.

Adobe menelusuri kembali kompromi ke "server build" internal yang memiliki akses ke infrastruktur penandatanganan kode. "Investigasi kami masih berlangsung, tetapi saat ini, tampaknya server build yang terkena dampak pertama kali disusupi pada akhir Juli," kata Lips.

"Sampai saat ini kami telah mengidentifikasi malware di server build dan kemungkinan mekanisme yang digunakan untuk pertama dapatkan akses ke server build, ”kata Arkin. "Kami juga memiliki bukti forensik yang menghubungkan server build dengan penandatanganan utilitas jahat."

Konfigurasi server build tidak sesuai dengan standar perusahaan Adobe untuk server seperti ini, kata Arkin. “Kami sedang menyelidiki mengapa proses penyediaan akses penandatanganan kode kami dalam kasus ini gagal mengidentifikasi kekurangan ini.”

Sertifikat penandatanganan sertifikat yang disalahgunakan dikeluarkan oleh VeriSign pada 14 Desember 2010, dan dijadwalkan untuk dicabut di Adobe permintaan pada 4 Oktober. Operasi ini akan memengaruhi produk perangkat lunak Adobe yang ditandatangani setelah 10 Juli 2012.

"Ini hanya memengaruhi perangkat lunak Adobe yang ditandatangani dengan sertifikat yang terkena dampak yang berjalan di platform Windows dan tiga aplikasi Adobe AIR yang berjalan di Windows dan Macintosh," kata Arkin.

Adobe menerbitkan halaman bantuan yang berisi daftar produk yang terpengaruh dan berisi tautan ke versi terbaru yang ditandatangani dengan sertifikat baru.

Symantec, yang sekarang memiliki dan mengoperasikan otoritas sertifikat VeriSign, menekankan bahwa sertifikat penandatanganan kode yang disalahgunakan sepenuhnya berada di bawah kendali Adobe.

“Tidak ada sertifikat penandatanganan Symantec beresiko, ”kata Symantec Kamis dalam sebuah pernyataan email. "Ini bukan kompromi sertifikat penandatanganan kode Symantec, jaringan atau infrastruktur."

Adobe menonaktifkan infrastruktur penandatanganan kode dan menggantinya dengan layanan penandatanganan sementara yang membutuhkan file untuk diperiksa secara manual sebelum ditandatangani, kata Arkin. "Kami sedang dalam proses merancang dan menyebarkan solusi penandatanganan permanen yang baru."

"Sulit untuk menentukan implikasi dari insiden ini, karena kami tidak dapat memastikan bahwa hanya sampel yang dibagikan yang ditandatangani tanpa otorisasi," Botezatu berkata. “Jika aplikasi sandi dumper dan pustaka SSL sumber terbuka relatif tidak berbahaya, filter ISAPI jahat dapat digunakan untuk serangan man-in-the-middle - serangan khas yang memanipulasi lalu lintas dari pengguna ke server dan sebaliknya, antara lain, ”katanya.