In [url]http://www.security.nl/artikel/43272/1/Hackers_signeren_malware_met_Adobe_certificaat.html[/url] kun je lezen dat een build-server van Adobe gecompromitteerd is geraakt waarna aanvallers diverse zelf geüploade bestanden van een digitale Adobe handtekening hebben kunnen voorzien. Om die reden zal Adobe op 4 oktober 2012 het betreffende code signing certificaat intrekken (naar verluidt zal er maar één certificaat worden ingetrokken).
Ik heb getest wat de consequentie zal zijn van het revoken van het certificaat op een volledig gepatcht (Engelstalig) XP systeem met MSIE8. Ik beschrijf verderop hoe ik dat gedaan heb; iemand met andere Windows versies moet die test kunnen reproduceren. Ik ben benieuwd naar de resultaten van W7 32/64 bits!
[b]Voor bijvoorbeeld de laatste en voorlaatste versies van Adobe Flash geldt:[/b]
- Versie 11.4.402.265 is ondertekend met het certificaat dat op 4 oktober ingetrokken gaat worden (serienummer 15 e5 ac 0a 48 70 63 71 8e 39 da 52 30 1a 04 88);
- Versie 11.4.402.278 is ondertekend met een [i]ouder[/i] certificaat dat [i]niet[/i] ingetrokken zal worden (serienummer 7e 28 2b 07 49 66 9b 59 5f 79 49 ff 06 13 4e 92).
De betreffende certificaten zijn aanwezig in zowel de installers als in de binaire de bestanden die in c:\windows\system32\Macromed\Flash\ worden geplaatst.
Nb. voor een discussie over de onverwachte Flash update (zonder dat daar release notes voor verschenen) zie [url]http://www.security.nl/artikel/43151/1/Adobe_Flash_Player_11.4.402.278_update_kun_je_niet_uitvoeren.html[/url].
[b](1) Ik heb het certificaat met serienummer 15 e5 ac 0a 48 70 63 71 8e 39 da 52 30 1a 04 88 geblokkeerd als volgt:[/b]
- Ik had nog een oudere [i]install_flash_player_ax.exe[/i], versie 11.4.402.265, gedownload op 2012-08-22.
- Rechts-klik op [i]install_flash_player_ax.exe[/i], kies [i]Properties[/i], open tabblad "Digital Signatures", selecteer "Adobe Systems...", klik "Details", klik "View Certificate", kies tabblad "Details" en klik "Copy to File..."
- Klik Next en kies "Base-64 encoded X.509 (.CER)" en sla op als "Adobe Revoked op 20121004.cer"
- Start certmgr.msc, open menu "View" -> "Options...", dan aanvinken: "[v] Physical Certificate Stores"
- Open "Untrusted Certificates/Local Computer/Certificates/" en rechtsklik op die meest rechtse "Certificates"
- Kies "All Tasks"->"Import..." en importeer "Adobe Revoked op 20121004.cer"
- Sluit alle vensters
- Rechts-klik op [i]install_flash_player_ax.exe[/i], kies [i]Properties[/i], open tabblad "Digital Signatures", selecteer "Adobe Systems...", klik "Details" en constateer een [i]nu[/i] ongeldige handtekening (rood kruis en "A certificate was explicitly revoked by its issuer").
[b](2) Daarna heb ik die [i]vorige[/i] versie van Flash Player ActiveX geïnstalleerd als volgt:[/b]
- Ik heb de ActiveX versie 11.4.402.278 gedeïnstalleerd.
- Een registerhack bleek vervolgens nodig om een oudere versie te kunnen installeren. Onder key "HKLM\SOFTWARE\Macromedia\FlashPlayer\SafeVersions\" heb ik de naam het name/value paar [i]11.0=0x1920116[/i] gewijzigd in [i]x11.0=0x1920116[/i].
- Ondanks het nu ingetrokken certificaat (!) kon ik [i]install_flash_player_ax.exe[/i] (gedownload op 2012-08-22) gewoon opstarten en installeren!
- Daarna werkte "Flash32_11_4_402_265.ocx" (gesigneerd met nu revoked certificate) probleemloos in MSIE8, ik heb geen enkele foutmelding gezien bij het bekijken van flash content...
[b]Conclusie: in elk geval op Windows XP checkt Microsoft digitale handtekeningen [i]niet[/i] op de momenten dat je dat wel verwacht![/b]
Zie ook mijn (eerdere) reactie onder [url]https://isc.sans.edu/diary/Adobe+certification+revocation+for+October+4th/14194[/url].
Deze posting is gelocked. Reageren is niet meer mogelijk.