Security Professionals - ipfw add deny all from eindgebruikers to any

gevolgen revoken Adobe certificaat

30-09-2012, 18:18 door Erik van Straten, 11 reacties

In [url]http://www.security.nl/artikel/43272/1/Hackers_signeren_malware_met_Adobe_certificaat.html[/url] kun je lezen dat een build-server van Adobe gecompromitteerd is geraakt waarna aanvallers diverse zelf geüploade bestanden van een digitale Adobe handtekening hebben kunnen voorzien. Om die reden zal Adobe op 4 oktober 2012 het betreffende code signing certificaat intrekken (naar verluidt zal er maar één certificaat worden ingetrokken).

Ik heb getest wat de consequentie zal zijn van het revoken van het certificaat op een volledig gepatcht (Engelstalig) XP systeem met MSIE8. Ik beschrijf verderop hoe ik dat gedaan heb; iemand met andere Windows versies moet die test kunnen reproduceren. Ik ben benieuwd naar de resultaten van W7 32/64 bits!

[b]Voor bijvoorbeeld de laatste en voorlaatste versies van Adobe Flash geldt:[/b]
- Versie 11.4.402.265 is ondertekend met het certificaat dat op 4 oktober ingetrokken gaat worden (serienummer 15 e5 ac 0a 48 70 63 71 8e 39 da 52 30 1a 04 88);

- Versie 11.4.402.278 is ondertekend met een [i]ouder[/i] certificaat dat [i]niet[/i] ingetrokken zal worden (serienummer 7e 28 2b 07 49 66 9b 59 5f 79 49 ff 06 13 4e 92).

De betreffende certificaten zijn aanwezig in zowel de installers als in de binaire de bestanden die in c:\windows\system32\Macromed\Flash\ worden geplaatst.

Nb. voor een discussie over de onverwachte Flash update (zonder dat daar release notes voor verschenen) zie [url]http://www.security.nl/artikel/43151/1/Adobe_Flash_Player_11.4.402.278_update_kun_je_niet_uitvoeren.html[/url].

[b](1) Ik heb het certificaat met serienummer 15 e5 ac 0a 48 70 63 71 8e 39 da 52 30 1a 04 88 geblokkeerd als volgt:[/b]
- Ik had nog een oudere [i]install_flash_player_ax.exe[/i], versie 11.4.402.265, gedownload op 2012-08-22.
- Rechts-klik op [i]install_flash_player_ax.exe[/i], kies [i]Properties[/i], open tabblad "Digital Signatures", selecteer "Adobe Systems...", klik "Details", klik "View Certificate", kies tabblad "Details" en klik "Copy to File..."
- Klik Next en kies "Base-64 encoded X.509 (.CER)" en sla op als "Adobe Revoked op 20121004.cer"
- Start certmgr.msc, open menu "View" -> "Options...", dan aanvinken: "[v] Physical Certificate Stores"
- Open "Untrusted Certificates/Local Computer/Certificates/" en rechtsklik op die meest rechtse "Certificates"
- Kies "All Tasks"->"Import..." en importeer "Adobe Revoked op 20121004.cer"
- Sluit alle vensters
- Rechts-klik op [i]install_flash_player_ax.exe[/i], kies [i]Properties[/i], open tabblad "Digital Signatures", selecteer "Adobe Systems...", klik "Details" en constateer een [i]nu[/i] ongeldige handtekening (rood kruis en "A certificate was explicitly revoked by its issuer").

[b](2) Daarna heb ik die [i]vorige[/i] versie van Flash Player ActiveX geïnstalleerd als volgt:[/b]
- Ik heb de ActiveX versie 11.4.402.278 gedeïnstalleerd.
- Een registerhack bleek vervolgens nodig om een oudere versie te kunnen installeren. Onder key "HKLM\SOFTWARE\Macromedia\FlashPlayer\SafeVersions\" heb ik de naam het name/value paar [i]11.0=0x1920116[/i] gewijzigd in [i]x11.0=0x1920116[/i].
- Ondanks het nu ingetrokken certificaat (!) kon ik [i]install_flash_player_ax.exe[/i] (gedownload op 2012-08-22) gewoon opstarten en installeren!
- Daarna werkte "Flash32_11_4_402_265.ocx" (gesigneerd met nu revoked certificate) probleemloos in MSIE8, ik heb geen enkele foutmelding gezien bij het bekijken van flash content...

[b]Conclusie: in elk geval op Windows XP checkt Microsoft digitale handtekeningen [i]niet[/i] op de momenten dat je dat wel verwacht![/b]

Zie ook mijn (eerdere) reactie onder [url]https://isc.sans.edu/diary/Adobe+certification+revocation+for+October+4th/14194[/url].

Reacties (11)
30-09-2012, 18:32 door Erik van Straten
Voor degenen die geen oudere Flash downloads hebben, en dus niet eenvoudig aan het certificaat kunnen komen dat a.s. donderdag ingetrokken zal worden (dit is dus het Adobe code signing certificaat met serienummer 15 e5 ac 0a 48 70 63 71 8e 39 da 52 30 1a 04 88):
-----BEGIN CERTIFICATE-----
MIIFFjCCA/6gAwIBAgIQFeWsCkhwY3GOOdpSMBoEiDANBgkqhkiG9w0BAQUFADCB
tDELMAkGA1UEBhMCVVMxFzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMR8wHQYDVQQL
ExZWZXJpU2lnbiBUcnVzdCBOZXR3b3JrMTswOQYDVQQLEzJUZXJtcyBvZiB1c2Ug
YXQgaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL3JwYSAoYykxMDEuMCwGA1UEAxMl
VmVyaVNpZ24gQ2xhc3MgMyBDb2RlIFNpZ25pbmcgMjAxMCBDQTAeFw0xMDEyMTUw
MDAwMDBaFw0xMjEyMTQyMzU5NTlaMIHdMQswCQYDVQQGEwJVUzETMBEGA1UECBMK
Q2FsaWZvcm5pYTERMA8GA1UEBxMIU2FuIEpvc2UxIzAhBgNVBAoUGkFkb2JlIFN5
c3RlbXMgSW5jb3Jwb3JhdGVkMRwwGgYDVQQLFBNJbmZvcm1hdGlvbiBTeXN0ZW1z
MT4wPAYDVQQLEzVEaWdpdGFsIElEIENsYXNzIDMgLSBNaWNyb3NvZnQgU29mdHdh
cmUgVmFsaWRhdGlvbiB2MjEjMCEGA1UEAxQaQWRvYmUgU3lzdGVtcyBJbmNvcnBv
cmF0ZWQwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAOOsWw50PLi3ulRVRS2i
VzHvqrb1ALTqXh+fjRAr9UGy8aQw40Pi+A/rEL2fy9Y1GlYsxtXRE2s6XqJGkouX
eqhdjZMl5cNFVrfAD7KsD4KuVBXORLYrKlqND3L7p4BM1mkqNvSO6Lwkp7WbmT+w
eEoxYzX6Qh/WYUuX5/ZMXcFpAgMBAAGjggF7MIIBdzAJBgNVHRMEAjAAMA4GA1Ud
DwEB/wQEAwIHgDBABgNVHR8EOTA3MDWgM6Axhi9odHRwOi8vY3NjMy0yMDEwLWNy
bC52ZXJpc2lnbi5jb20vQ1NDMy0yMDEwLmNybDBEBgNVHSAEPTA7MDkGC2CGSAGG
+EUBBxcDMCowKAYIKwYBBQUHAgEWHGh0dHBzOi8vd3d3LnZlcmlzaWduLmNvbS9y
cGEwEwYDVR0lBAwwCgYIKwYBBQUHAwMwcQYIKwYBBQUHAQEEZTBjMCQGCCsGAQUF
BzABhhhodHRwOi8vb2NzcC52ZXJpc2lnbi5jb20wOwYIKwYBBQUHMAKGL2h0dHA6
Ly9jc2MzLTIwMTAtYWlhLnZlcmlzaWduLmNvbS9DU0MzLTIwMTAuY2VyMB8GA1Ud
IwQYMBaAFM+Zqep7JvRLyY6P1/AFJu/j0qedMBEGCWCGSAGG+EIBAQQEAwIEEDAW
BgorBgEEAYI3AgEbBAgwBgEBAAEB/zANBgkqhkiG9w0BAQUFAAOCAQEAquu3mUtI
U0XYXxhaOsniYeUzFWU+FbgcZn6ixHRXqwx/PC3iRfsl25VqyUgQ287ZKnEe/Nse
zeHsN5aBz5u7MkYRF1BY8z/GISgJC4ip1IL9rF8Y0QDqLGQJK8IeTobVH4/1lBNq
i1RoNCdkDHFaR6K8z5iP9CZM8XgwRNkv8JXEQBA0iMM5I5yicFtbfhX2pYyC5MRG
SMADI+qF6WaEQXv6qdyK+fzoCzXN6tPUHBvfq65ABqn92mh5iAywIUgz4liR4jTR
NoJYp4ADyxSDUiAfdoohIrj/xGP6wIhZtBXygx6yX3rY0MCNr3lia2dbYGCarw8b
ACigl9b7ShHetA==
-----END CERTIFICATE-----
De bovenstaande (grijze) tekst kun je kopiëren en in Notepad (Kladblok) plakken, en vervolgens opslaan als "Adobe Revoked op 20121004.cer". De eerste drie streepjes onder (1) in mijn vorige bijdrage hoef je dan niet uit te voeren.

Edit: woensdag gewijzigd in donderdag (4 okt)
30-09-2012, 19:35 door Spiff has left the building
Dank je, Erik.
En is bij jou (of bij anderen) ook bekend of die Adobe Flash Player update naar 11.4.402.278
(http://www.security.nl/artikel/43151/1/Adobe_Flash_Player_11.4.402.278_update_kun_je_niet_uitvoeren.html)
ook daadwerkelijk is doorgevoerd voor de gebruikers die voor Flash Player hebben toegestaan dat updates automatisch (stil) worden geïnstalleerd?
01-10-2012, 00:28 door Erik van Straten
Door Spiff: En is bij jou (of bij anderen) ook bekend of die Adobe Flash Player update naar 11.4.402.278
(http://www.security.nl/artikel/43151/1/Adobe_Flash_Player_11.4.402.278_update_kun_je_niet_uitvoeren.html)
ook daadwerkelijk is doorgevoerd voor de gebruikers die voor Flash Player hebben toegestaan dat updates automatisch (stil) worden geïnstalleerd?
Sorry, weet ik niet. Ik heb zelf automatische updates uit staan; ik hou niet zo van verrassingen (gratis meegeleverde toolbars en what not), het voortdurend naar huis bellen door allerlei software, het gedoe dat een download/update gebeurt op het moment dat het mij niet uitkomt en ten slotte, het risico dat een brakke update m'n systemen sloopt.

Als je Security.nl in de gaten houdt is er altijd wel zo iemand als Spiff die meldt dat er een update beschikbaar is...
Dank daarvoor!

Overigens, met mijn bovenstaande instructies kun je natuurlijk ook zelf de vorige versie installeren, aan het einde van de installatie voor automatische updates kiezen, en afwachten of er automatisch geüpdate wordt.

Mocht je de vorige flash player installer (11.4.402.265) niet meer in jouw bezit hebben, die kun je hier nog downloaden:
De plugin versie: http://www.oldapps.com/flash_player.php?old_flash_player=8115
De "AX" (ActiveX) versie: http://www.oldapps.com/flash_player.php?old_flash_player=8116

Secure hashes van de files die ik op 2012-08-22 gedownload heb:
http://download.macromedia.com/pub/flashplayer/current/support/install_flash_player.exe
SHA1SUM=a04bf14cd01a741dddbd352fbc1ac54e574b2bf0
SHA256Sum=7ff550bd848308b3a0dd74f806da522b8bb768e527432fabb580ac2821de5e86

http://download.macromedia.com/pub/flashplayer/current/support/install_flash_player_ax.exe
SHA1SUM=3e1385184fe89b2f41cb932b37147bc7a8516d30
SHA256Sum=4d1ef912c2ea3a6e42bb48e822ecd634964f8ad298362c32d0242e7078d035d3
01-10-2012, 00:59 door Spiff has left the building
Door Spiff:
Is bij jou (of bij anderen) ook bekend of die Adobe Flash Player update naar 11.4.402.278 [...] ook daadwerkelijk is doorgevoerd voor de gebruikers die voor Flash Player hebben toegestaan dat updates automatisch (stil) worden geïnstalleerd?
Ik zal het eens navragen bij een vriendin bij wie automatisch stil updaten de instelling is voor Flash Player.


Door Erik van Straten:
Mocht je de vorige flash player installer (11.4.402.265) niet meer in jouw bezit hebben, die kun je hier nog downloaden: [...]
Daar bestaat zelfs een Adobe adres voor:
http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html#main_Archived_versions
Zie onder Flash Player archives.
02-10-2012, 01:41 door Erik van Straten
Door Spiff:
Door Erik van Straten:
Mocht je de vorige flash player installer (11.4.402.265) niet meer in jouw bezit hebben, die kun je hier nog downloaden: [...]
Daar bestaat zelfs een Adobe adres voor:
http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html#main_Archived_versions
Zie onder Flash Player archives.
Ja en nee (die pagina noemde ik ook al in mijn bijdrage onder https://isc.sans.edu/diary.html?storyid=14194).

Echter, versie 11.4.402.265 in die helpx.adobe.com pagina bevat uitsluitend Mac binaries. De Windows versie van 11.4.402.265 is zorgvuldig weggepoetst op de Adobe en Macromedia sites (ik kon deze zondag in elk geval niet meer vinden).

Als je met een oudere versie van Flash player zou willen testen, is versie 11.4.402.265 de meest veilige; daarvan zijn immers geen kwetsbaarheden gepubliceerd t.o.v. de actuele versie 11.4.402.278. Zoals gezegd, 11.4.402.265 is nog op oldapps.com te vinden.
02-10-2012, 12:45 door Anoniem
Op twee Windows 7 (64-bit en 32-bit) systemen tests uitgevoerd.

Na het toevoegen van het certificaat in de Untrusted Certificates store (en een reboot) is het geen probleem om bijvoorbeeld Photoshop Extended 13 (CS6) op te starten die al eerder was geinstalleerd. Ook het installeren op een systeem met het untrusted certificaat gaat zonder (fout)meldingen.

Echter als via Windows Explorer geprobeerd wordt de oude flash player (via install_flash_player_11_active_x.msi v11.4.402.265) te installeren krijg je van Windows Installer de melding "The system administrator has set policies to prevent this installation." Bij een unattended installatie met elevated admin rights wordt error 1625 (This installation is forbidden by system policy. Contact your system administrator.) afgegeven. In de eventlog is de deze melding te vinden: The installation of install_flash_player_11_active_x.msi is not permitted by software restriction policy. The Windows Installer only allows installation of unrestricted items. The authorization level returned by software restriction policy was 0x0 (status return 0x800b010c).
Gelukkig gaat het unattended de-installeren van de flashplayer wel goed.

Indien uninstall_flash_player.exe via Windows Explorer gestart wordt krijg je een UAC melding dat de publisher Not Trusted is. De Uninstall Adobe Flash Player tool wordt echter wel gewoon gestart. Indien de optie uninstall gekozen wordt lijkt het programma te werken (werking niet echt kunnen testen aangezien er geen flash player meer geinstalleerd is). Naderhand krijg je nog 2x de UAC melding te zien.
Indien de tool via een elevated command prompt wordt opgestart wordt de UAC melding niet getoond. Ook bij het gebruik van de optie "-uninstall" wordt er dan geen melding getoond en exitcode 0 afgegeven.

Het starten (Run as administrator) van de RemoteUpdateManager.exe met het untrusted certificaat geeft ook geen problemen. Indien deze gewoon opgestart wordt geeft het programma een error code 1 af wat normaal is maar krijg je ook geen UAC melding. Naderhand is de photoshop executable vervangen door een nieuwe versie met een ander certificaat.


Conclusie:
Huidige installaties van de Flash en Shockwave player kunnen blijven staan. Nieuwe installaties van de Flash en de Shockwave player moeten met de laatste versies gedaan worden.
RemoteUpdateManager lijkt te blijven werken maar kan het beste vervangen worden door de nieuwste versie. Dit is ook van toepassing op de uninstall_flash_player.exe tool.
Met de RemoteUpdateManger kan het beste alle bestaande en nieuwe Adobe CS6 installaties bijgewerkt worden.
02-10-2012, 12:54 door Spiff has left the building
Dank je voor de correctie, Erik.
Je bijdrage op isc.sans.edu die had ik eerder nog niet gelezen, ik had niet gezien dat je daar al verwees naar dat helpx.adobe.com adres.
En dat Adobe de Windows versie van 11.4.402.265 heeft weggehaald uit de Flash Player archives, dat had ik nog niet opgemerkt, ik had dat niet getest toen ik daarnaar verwees, ik had dat simpelweg nooit verwacht, maar ik zie het nu ook.
Die Flash Player archives bieden per definitie oude versies, te gebruiken voor testdoeleinden, dat de Windows versie van 11.4.402.265 daaruit wordt weggehaald lijkt zo in tegenspraak met het aanbieden van oude versies voor testdoeleinden dat ik nooit verwacht had dat dat zou worden gedaan.
03-10-2012, 01:52 door Erik van Straten
@Anoniem van 12:45: dank voor de tests die je hebt uitgevoerd en het publiceren van de resultaten!

Ik heb zelf ook nog even onder XP met een MSI geëxperimenteerd: als ik, ingelogd als unprivileged user, flashplayer11_3r300_262_win.msi start (met revoked certificate), dan krijg ik een dialoogbox van Windows Installer (titelbalk) te zien met daarin de tekst: "The system administrator has set policies to prevent this installation". Code in de MSI file wordt dan duidelijk niet gestart. Start ik diezelfde MSI op als admin, dan is er geen waarschuwing en wordt de code in de msi wel gestart.

De Windows Installer in XP lijkt dus wel op certificate revocation te controleren als een MSI bestand wordt geopend door een unprivileged user (vergelijkbaar gedrag dus met een UAC user onder W7), maar niet indien een MSI bestand geopend wordt door een admin (op dat punt is W7 dus veiliger).

Bij het starten van exe files als full admin lijkt geen van de Windows versies de digitale handtekening te verifiëren. Onder W7 biedt UAC dus meer bescherming dan alleen waarschuwen dat admin privileges benodigd zijn!

De oorzaak van het bijzondere gedrag van Windows Installer is vermoedelijk wat Microsoft "UAC Patching" noemt (zie http://msdn.microsoft.com/en-us/library/windows/desktop/aa372388%28v=vs.85%29.aspx en http://msdn.microsoft.com/en-us/library/windows/desktop/aa368289%28v=vs.85%29.aspx). Scary wat je allemaal kunt met signed MSI's...

Overigens, Googlen naar de foutmelding die Anoniem vermeldde leidde mij naar http://mykbit.blogspot.nl/2011/05/system-administrator-has-set-policies.html (met plaatjes) en http://knowledgebase.solarwinds.com/kb/questions/2389/__print - beiden met adviezen om het onderhavige "probleem" te verhelpen op een manier die ik niet aan zou willen raden...

@Spiff 12:54: no problemo, ook mijn eerste aanname was dat de Windows versies van 11.4.402.265 daar wel in zouden zitten! Toen dat, na download, niet het geval bleek te zijn, ben ik op internet gaan zoeken en vond de oldapps site.
04-10-2012, 22:47 door Anoniem
Om 1:15 pm PDT (GMT -7:00) (22:15 Nederlandse tijd) op donderdag 4 Oktober 2012 zou/heeft Adobe het certificaat revoken. Op dit moment (22:45 CEST) is het certificaat nog steeds OK!


Met vriendelijke groet,
Anoniem van 12:45
05-10-2012, 11:45 door Anoniem
Het certificaat heeft een Field CRL Distribution Points onder de Details tab. De url van de CRL Distribution Points voor dit certificaat is http://csc3-2010-crl.verisign.com/CSC3-2010.crl. Als deze url geopend wordt kun je de Revocation List bekijken. Het certificaat met het serienummer 15 e5 ac 0a 48 70 63 71 8e 39 da 52 30 1a 04 88 is op dinsdag 10 juli 2012 2:00:00 (PDT) op de Revocation List gezet. Op zowel XP als W7 computers is het certificaat nu revoked by its issuer.

Heeft iemand al verder problemen geconstateerd?
08-10-2012, 12:03 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.