Aanvallers zijn erin geslaagd om bij Adobe in te breken om uiteindelijk malware met Adobe's eigen certificaten te signeren. De hack werd ontdekt nadat er twee kwaadaardige tools waren gevonden die een geldig Adobe code signing certificaat gebruikten. De tools waren tegen één doelwit ingezet. Het gaat om een exemplaar van pwdump7 v7.1, een programma dat wachtwoord-hashes uit Windows haalt en myGeeksmail.dll, een ISAPI-filter. Dit filter, wat niet publiek beschikbaar zou zijn, stuurt internetverkeer op webservers door.
Na de ontdekking heeft Adobe de bestaande infrastructuur om code mee te signeren offline gehaald en een forensisch onderzoek ingesteld. Dit onderzoek leidde naar een gehackte server die toegang tot de 'code signing' infrastructuur had. Volgens Adobe voldeed de configuratie van de gehackte server niet aan de bedrijfsstandaard, maar was dit niet opgemerkt. Wat de standaard precies is laat Adobe niet weten.
Intrekken
Adobe gaat op 4 oktober het gebruikte certificaat in kwestie intrekken en updates voor bestaande Adobe software uitgeven die ook het certificaat gebruiken. De updates verschijnen alleen voor Adobe software die op Windows draait en drie Adobe AIR applicaties die zowel op Windows als Mac draaien.
Op Twitter laat Mikko Hypponen van het Finse F-Secure weten dat het bedrijf over meer dan 5000 bestanden beschikt die met het certificaat zijn gesigneerd, maar dat er slechts drie kwaadaardige bestanden tussen zitten.
Adobe stelt in een verklaring dat aanvallers de gesigneerde malware waarschijnlijk voor gerichte aanvallen hebben gebruikt en dat daardoor de meeste gebruikers geen risico lopen. Inmiddels is de gevonden malware ook met het Microsoft Active Protection Program (MAPP) gedeeld, zodat anti-virusbedrijven de kwaadaardige code kunnen herkennen.
Deze posting is gelocked. Reageren is niet meer mogelijk.