Security Professionals - ipfw add deny all from eindgebruikers to any

gevolgen revoken Adobe certificaat

30-09-2012, 18:18 door Erik van Straten, 11 reacties

In [url]http://www.security.nl/artikel/43272/1/Hackers_signeren_malware_met_Adobe_certificaat.html[/url] kun je lezen dat een build-server van Adobe gecompromitteerd is geraakt waarna aanvallers diverse zelf geüploade bestanden van een digitale Adobe handtekening hebben kunnen voorzien. Om die reden zal Adobe op 4 oktober 2012 het betreffende code signing certificaat intrekken (naar verluidt zal er maar één certificaat worden ingetrokken).

Ik heb getest wat de consequentie zal zijn van het revoken van het certificaat op een volledig gepatcht (Engelstalig) XP systeem met MSIE8. Ik beschrijf verderop hoe ik dat gedaan heb; iemand met andere Windows versies moet die test kunnen reproduceren. Ik ben benieuwd naar de resultaten van W7 32/64 bits!

[b]Voor bijvoorbeeld de laatste en voorlaatste versies van Adobe Flash geldt:[/b]
- Versie 11.4.402.265 is ondertekend met het certificaat dat op 4 oktober ingetrokken gaat worden (serienummer 15 e5 ac 0a 48 70 63 71 8e 39 da 52 30 1a 04 88);

- Versie 11.4.402.278 is ondertekend met een [i]ouder[/i] certificaat dat [i]niet[/i] ingetrokken zal worden (serienummer 7e 28 2b 07 49 66 9b 59 5f 79 49 ff 06 13 4e 92).

De betreffende certificaten zijn aanwezig in zowel de installers als in de binaire de bestanden die in c:\windows\system32\Macromed\Flash\ worden geplaatst.

Nb. voor een discussie over de onverwachte Flash update (zonder dat daar release notes voor verschenen) zie [url]http://www.security.nl/artikel/43151/1/Adobe_Flash_Player_11.4.402.278_update_kun_je_niet_uitvoeren.html[/url].

[b](1) Ik heb het certificaat met serienummer 15 e5 ac 0a 48 70 63 71 8e 39 da 52 30 1a 04 88 geblokkeerd als volgt:[/b]
- Ik had nog een oudere [i]install_flash_player_ax.exe[/i], versie 11.4.402.265, gedownload op 2012-08-22.
- Rechts-klik op [i]install_flash_player_ax.exe[/i], kies [i]Properties[/i], open tabblad "Digital Signatures", selecteer "Adobe Systems...", klik "Details", klik "View Certificate", kies tabblad "Details" en klik "Copy to File..."
- Klik Next en kies "Base-64 encoded X.509 (.CER)" en sla op als "Adobe Revoked op 20121004.cer"
- Start certmgr.msc, open menu "View" -> "Options...", dan aanvinken: "[v] Physical Certificate Stores"
- Open "Untrusted Certificates/Local Computer/Certificates/" en rechtsklik op die meest rechtse "Certificates"
- Kies "All Tasks"->"Import..." en importeer "Adobe Revoked op 20121004.cer"
- Sluit alle vensters
- Rechts-klik op [i]install_flash_player_ax.exe[/i], kies [i]Properties[/i], open tabblad "Digital Signatures", selecteer "Adobe Systems...", klik "Details" en constateer een [i]nu[/i] ongeldige handtekening (rood kruis en "A certificate was explicitly revoked by its issuer").

[b](2) Daarna heb ik die [i]vorige[/i] versie van Flash Player ActiveX geïnstalleerd als volgt:[/b]
- Ik heb de ActiveX versie 11.4.402.278 gedeïnstalleerd.
- Een registerhack bleek vervolgens nodig om een oudere versie te kunnen installeren. Onder key "HKLM\SOFTWARE\Macromedia\FlashPlayer\SafeVersions\" heb ik de naam het name/value paar [i]11.0=0x1920116[/i] gewijzigd in [i]x11.0=0x1920116[/i].
- Ondanks het nu ingetrokken certificaat (!) kon ik [i]install_flash_player_ax.exe[/i] (gedownload op 2012-08-22) gewoon opstarten en installeren!
- Daarna werkte "Flash32_11_4_402_265.ocx" (gesigneerd met nu revoked certificate) probleemloos in MSIE8, ik heb geen enkele foutmelding gezien bij het bekijken van flash content...

[b]Conclusie: in elk geval op Windows XP checkt Microsoft digitale handtekeningen [i]niet[/i] op de momenten dat je dat wel verwacht![/b]

Zie ook mijn (eerdere) reactie onder [url]https://isc.sans.edu/diary/Adobe+certification+revocation+for+October+4th/14194[/url].

cisco firewalls remote code

Security Checklists

Reacties (11)

30-09-2012, 18:32 door Erik van Straten

Voor degenen die geen oudere Flash downloads hebben, en dus niet eenvoudig aan het certificaat kunnen komen dat a.s. donderdag ingetrokken zal worden (dit is dus het Adobe code signing certificaat met serienummer 15 e5 ac 0a 48 70 63 71 8e 39 da 52 30 1a 04 88):

De bovenstaande (grijze) tekst kun je kopiëren en in Notepad (Kladblok) plakken, en vervolgens opslaan als "Adobe Revoked op 20121004.cer". De eerste drie streepjes onder (1) in mijn vorige bijdrage hoef je dan niet uit te voeren.

Edit: woensdag gewijzigd in donderdag (4 okt)

30-09-2012, 19:35 door Spiff has left the building

Dank je, Erik.
En is bij jou (of bij anderen) ook bekend of die Adobe Flash Player update naar 11.4.402.278
(http://www.security.nl/artikel/43151/1/Adobe_Flash_Player_11.4.402.278_update_kun_je_niet_uitvoeren.html)
ook daadwerkelijk is doorgevoerd voor de gebruikers die voor Flash Player hebben toegestaan dat updates automatisch (stil) worden geïnstalleerd?

01-10-2012, 00:28 door Erik van Straten

Door Spiff: En is bij jou (of bij anderen) ook bekend of die Adobe Flash Player update naar 11.4.402.278
(http://www.security.nl/artikel/43151/1/Adobe_Flash_Player_11.4.402.278_update_kun_je_niet_uitvoeren.html)
ook daadwerkelijk is doorgevoerd voor de gebruikers die voor Flash Player hebben toegestaan dat updates automatisch (stil) worden geïnstalleerd?

Sorry, weet ik niet. Ik heb zelf automatische updates uit staan; ik hou niet zo van verrassingen (gratis meegeleverde toolbars en what not), het voortdurend naar huis bellen door allerlei software, het gedoe dat een download/update gebeurt op het moment dat het mij niet uitkomt en ten slotte, het risico dat een brakke update m'n systemen sloopt.

Als je Security.nl in de gaten houdt is er altijd wel zo iemand als Spiff die meldt dat er een update beschikbaar is...
Dank daarvoor!

Overigens, met mijn bovenstaande instructies kun je natuurlijk ook zelf de vorige versie installeren, aan het einde van de installatie voor automatische updates kiezen, en afwachten of er automatisch geüpdate wordt.

Mocht je de vorige flash player installer (11.4.402.265) niet meer in jouw bezit hebben, die kun je hier nog downloaden:
De plugin versie: http://www.oldapps.com/flash_player.php?old_flash_player=8115
De "AX" (ActiveX) versie: http://www.oldapps.com/flash_player.php?old_flash_player=8116

Secure hashes van de files die ik op 2012-08-22 gedownload heb:
http://download.macromedia.com/pub/flashplayer/current/support/install_flash_player.exe
SHA1SUM=a04bf14cd01a741dddbd352fbc1ac54e574b2bf0
SHA256Sum=7ff550bd848308b3a0dd74f806da522b8bb768e527432fabb580ac2821de5e86

http://download.macromedia.com/pub/flashplayer/current/support/install_flash_player_ax.exe
SHA1SUM=3e1385184fe89b2f41cb932b37147bc7a8516d30
SHA256Sum=4d1ef912c2ea3a6e42bb48e822ecd634964f8ad298362c32d0242e7078d035d3

01-10-2012, 00:59 door Spiff has left the building

Door Spiff:
Is bij jou (of bij anderen) ook bekend of die Adobe Flash Player update naar 11.4.402.278 [...] ook daadwerkelijk is doorgevoerd voor de gebruikers die voor Flash Player hebben toegestaan dat updates automatisch (stil) worden geïnstalleerd?

Ik zal het eens navragen bij een vriendin bij wie automatisch stil updaten de instelling is voor Flash Player.

Door Erik van Straten:
Mocht je de vorige flash player installer (11.4.402.265) niet meer in jouw bezit hebben, die kun je hier nog downloaden: [...]

Daar bestaat zelfs een Adobe adres voor:
http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html#main_Archived_versions
Zie onder Flash Player archives.

02-10-2012, 01:41 door Erik van Straten

Door Spiff:

Door Erik van Straten:
Mocht je de vorige flash player installer (11.4.402.265) niet meer in jouw bezit hebben, die kun je hier nog downloaden: [...]

Daar bestaat zelfs een Adobe adres voor:
http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html#main_Archived_versions
Zie onder Flash Player archives.

Ja en nee (die pagina noemde ik ook al in mijn bijdrage onder https://isc.sans.edu/diary.html?storyid=14194).

Echter, versie 11.4.402.265 in die helpx.adobe.com pagina bevat uitsluitend Mac binaries. De Windows versie van 11.4.402.265 is zorgvuldig weggepoetst op de Adobe en Macromedia sites (ik kon deze zondag in elk geval niet meer vinden).

Als je met een oudere versie van Flash player zou willen testen, is versie 11.4.402.265 de meest veilige; daarvan zijn immers geen kwetsbaarheden gepubliceerd t.o.v. de actuele versie 11.4.402.278. Zoals gezegd, 11.4.402.265 is nog op oldapps.com te vinden.

02-10-2012, 12:45 door Anoniem

Op twee Windows 7 (64-bit en 32-bit) systemen tests uitgevoerd.

Na het toevoegen van het certificaat in de Untrusted Certificates store (en een reboot) is het geen probleem om bijvoorbeeld Photoshop Extended 13 (CS6) op te starten die al eerder was geinstalleerd. Ook het installeren op een systeem met het untrusted certificaat gaat zonder (fout)meldingen.

Echter als via Windows Explorer geprobeerd wordt de oude flash player (via install_flash_player_11_active_x.msi v11.4.402.265) te installeren krijg je van Windows Installer de melding "The system administrator has set policies to prevent this installation." Bij een unattended installatie met elevated admin rights wordt error 1625 (This installation is forbidden by system policy. Contact your system administrator.) afgegeven. In de eventlog is de deze melding te vinden: The installation of install_flash_player_11_active_x.msi is not permitted by software restriction policy. The Windows Installer only allows installation of unrestricted items. The authorization level returned by software restriction policy was 0x0 (status return 0x800b010c).
Gelukkig gaat het unattended de-installeren van de flashplayer wel goed.

Indien uninstall_flash_player.exe via Windows Explorer gestart wordt krijg je een UAC melding dat de publisher Not Trusted is. De Uninstall Adobe Flash Player tool wordt echter wel gewoon gestart. Indien de optie uninstall gekozen wordt lijkt het programma te werken (werking niet echt kunnen testen aangezien er geen flash player meer geinstalleerd is). Naderhand krijg je nog 2x de UAC melding te zien.
Indien de tool via een elevated command prompt wordt opgestart wordt de UAC melding niet getoond. Ook bij het gebruik van de optie "-uninstall" wordt er dan geen melding getoond en exitcode 0 afgegeven.

Het starten (Run as administrator) van de RemoteUpdateManager.exe met het untrusted certificaat geeft ook geen problemen. Indien deze gewoon opgestart wordt geeft het programma een error code 1 af wat normaal is maar krijg je ook geen UAC melding. Naderhand is de photoshop executable vervangen door een nieuwe versie met een ander certificaat.

Conclusie:
Huidige installaties van de Flash en Shockwave player kunnen blijven staan. Nieuwe installaties van de Flash en de Shockwave player moeten met de laatste versies gedaan worden.
RemoteUpdateManager lijkt te blijven werken maar kan het beste vervangen worden door de nieuwste versie. Dit is ook van toepassing op de uninstall_flash_player.exe tool.
Met de RemoteUpdateManger kan het beste alle bestaande en nieuwe Adobe CS6 installaties bijgewerkt worden.

02-10-2012, 12:54 door Spiff has left the building

Dank je voor de correctie, Erik.
Je bijdrage op isc.sans.edu die had ik eerder nog niet gelezen, ik had niet gezien dat je daar al verwees naar dat helpx.adobe.com adres.
En dat Adobe de Windows versie van 11.4.402.265 heeft weggehaald uit de Flash Player archives, dat had ik nog niet opgemerkt, ik had dat niet getest toen ik daarnaar verwees, ik had dat simpelweg nooit verwacht, maar ik zie het nu ook.
Die Flash Player archives bieden per definitie oude versies, te gebruiken voor testdoeleinden, dat de Windows versie van 11.4.402.265 daaruit wordt weggehaald lijkt zo in tegenspraak met het aanbieden van oude versies voor testdoeleinden dat ik nooit verwacht had dat dat zou worden gedaan.

03-10-2012, 01:52 door Erik van Straten

@Anoniem van 12:45: dank voor de tests die je hebt uitgevoerd en het publiceren van de resultaten!

Ik heb zelf ook nog even onder XP met een MSI geëxperimenteerd: als ik, ingelogd als unprivileged user, flashplayer11_3r300_262_win.msi start (met revoked certificate), dan krijg ik een dialoogbox van Windows Installer (titelbalk) te zien met daarin de tekst: "The system administrator has set policies to prevent this installation". Code in de MSI file wordt dan duidelijk niet gestart. Start ik diezelfde MSI op als admin, dan is er geen waarschuwing en wordt de code in de msi wel gestart.

De Windows Installer in XP lijkt dus wel op certificate revocation te controleren als een MSI bestand wordt geopend door een unprivileged user (vergelijkbaar gedrag dus met een UAC user onder W7), maar niet indien een MSI bestand geopend wordt door een admin (op dat punt is W7 dus veiliger).

Bij het starten van exe files als full admin lijkt geen van de Windows versies de digitale handtekening te verifiëren. Onder W7 biedt UAC dus meer bescherming dan alleen waarschuwen dat admin privileges benodigd zijn!

De oorzaak van het bijzondere gedrag van Windows Installer is vermoedelijk wat Microsoft "UAC Patching" noemt (zie http://msdn.microsoft.com/en-us/library/windows/desktop/aa372388%28v=vs.85%29.aspx en http://msdn.microsoft.com/en-us/library/windows/desktop/aa368289%28v=vs.85%29.aspx). Scary wat je allemaal kunt met signed MSI's...

Overigens, Googlen naar de foutmelding die Anoniem vermeldde leidde mij naar http://mykbit.blogspot.nl/2011/05/system-administrator-has-set-policies.html (met plaatjes) en http://knowledgebase.solarwinds.com/kb/questions/2389/__print - beiden met adviezen om het onderhavige "probleem" te verhelpen op een manier die ik niet aan zou willen raden...

@Spiff 12:54: no problemo, ook mijn eerste aanname was dat de Windows versies van 11.4.402.265 daar wel in zouden zitten! Toen dat, na download, niet het geval bleek te zijn, ben ik op internet gaan zoeken en vond de oldapps site.

04-10-2012, 22:47 door Anoniem

Om 1:15 pm PDT (GMT -7:00) (22:15 Nederlandse tijd) op donderdag 4 Oktober 2012 zou/heeft Adobe het certificaat revoken. Op dit moment (22:45 CEST) is het certificaat nog steeds OK!

Met vriendelijke groet,
Anoniem van 12:45

05-10-2012, 11:45 door Anoniem

Het certificaat heeft een Field CRL Distribution Points onder de Details tab. De url van de CRL Distribution Points voor dit certificaat is http://csc3-2010-crl.verisign.com/CSC3-2010.crl. Als deze url geopend wordt kun je de Revocation List bekijken. Het certificaat met het serienummer 15 e5 ac 0a 48 70 63 71 8e 39 da 52 30 1a 04 88 is op dinsdag 10 juli 2012 2:00:00 (PDT) op de Revocation List gezet. Op zowel XP als W7 computers is het certificaat nu revoked by its issuer.

Heeft iemand al verder problemen geconstateerd?

08-10-2012, 12:03 door [Account Verwijderd]

[Verwijderd]

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer