Hackers signeren malware met Adobe certificaat
Aanvallers zijn erin geslaagd om bij Adobe in te breken om uiteindelijk malware met Adobe's eigen certificaten te signeren. De hack werd ontdekt nadat er twee kwaadaardige tools waren gevonden die een geldig Adobe code signing certificaat gebruikten. De tools waren tegen één doelwit ingezet. Het gaat om een exemplaar van pwdump7 v7.1, een programma dat wachtwoord-hashes uit Windows haalt en myGeeksmail.dll, een ISAPI-filter. Dit filter, wat niet publiek beschikbaar zou zijn, stuurt internetverkeer op webservers door.
Na de ontdekking heeft Adobe de bestaande infrastructuur om code mee te signeren offline gehaald en een forensisch onderzoek ingesteld. Dit onderzoek leidde naar een gehackte server die toegang tot de 'code signing' infrastructuur had. Volgens Adobe voldeed de configuratie van de gehackte server niet aan de bedrijfsstandaard, maar was dit niet opgemerkt. Wat de standaard precies is laat Adobe niet weten.
Intrekken
Adobe gaat op 4 oktober het gebruikte certificaat in kwestie intrekken en updates voor bestaande Adobe software uitgeven die ook het certificaat gebruiken. De updates verschijnen alleen voor Adobe software die op Windows draait en drie Adobe AIR applicaties die zowel op Windows als Mac draaien.
Op Twitter laat Mikko Hypponen van het Finse F-Secure weten dat het bedrijf over meer dan 5000 bestanden beschikt die met het certificaat zijn gesigneerd, maar dat er slechts drie kwaadaardige bestanden tussen zitten.
Adobe stelt in een verklaring dat aanvallers de gesigneerde malware waarschijnlijk voor gerichte aanvallen hebben gebruikt en dat daardoor de meeste gebruikers geen risico lopen. Inmiddels is de gevonden malware ook met het Microsoft Active Protection Program (MAPP) gedeeld, zodat anti-virusbedrijven de kwaadaardige code kunnen herkennen.
Het meest zorgelijke vind ik dat zowel Adobe als laatst Microsoft er pas achter komen dat hun certificaten vervalst / gestolen zijn als er malware opduikt die het gebruikt.
Adobe en Oracle zijn onderhand een flinke 'pain in the ass' geworden.
Software dat niet van Adobe is, en gesigneerd met een certificaat van Adobe...Ik bedoel maar.
Doet bijvoorbeeld de browser dan niet meer vragen van "The publisher of this progroma could not be veriefied.. bla bla bla"
En AntiVirus software kan wat toleranter worden. Het zal het doewlit dus niet zo opvallen.
Was toch wel fijn geweest als die er dit weekend al geweest was.
Of heeft het revoken van het certificaat geen invloed op het gebruik van flash player?
Was toch wel fijn geweest als die er dit weekend al geweest was.
Of heeft het revoken van het certificaat geen invloed op het gebruik van flash player?
Inmiddels de forum thread gezien, en ik denk dat het antwoord is dat de raadselachtige .278 update al de update was waar het hier om ging, en dat het geen bal uitmaakt of dat je die nu meteen installeert omdat het certificaat zowizo toch niet gechecked wordt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
