Архив новостей

Adobe отзывает сертификат, использованный злоумышленниками

Обнаружив 2 хакерские утилиты со своей цифровой подписью, Adobe убедилась в ее подлинности и начала расследование. Запятнанный сертификат будет заменен 4 октября для всех кодов, подписанных позднее 10 июля текущего года.

Как выяснилось, злоумышленникам удалось получить доступ к одному из build-серверов Adobe, имеющему выход на сервис цифровых подписей компании. Эксперты полагают, что взлому предшествовала целевая атака и несанкционированное проникновение в корпоративную сеть. Найдя ключи к серверу разработчиков, хакеры отправили с него запрос на подпись через стандартный протокол Adobe. К счастью, других прав доступа к инфраструктуре открытых ключей (PKI) у взломанного аккаунта не было. Приватный ключ, используемый для формирования цифровой подписи, компания хранит в отдельном, хорошо защищенном аппаратном модуле, и он не попал к злоумышленникам. Исходный код единственного продукта, который мог пострадать, оказался нетронутым. К прочим исходникам, включая Flash Player, Adobe Reader, Shockwave Player и Adobe AIR, взломанный сервер доступа не имел.

Adobe удалось идентифицировать сторонние программы, получившие стараниями хакеров ее цифровую подпись. Одна из них, pwdump7 v7.1, предназначена для извлечения хэшей паролей из Windows. Вторая, myGeeksmail.dll, была определена как фильтр ISAPI, который может использоваться для перехвата и подмены http-запросов на сервере (ЛК детектирует эту утилиту как Trojan.Win32.Agent.hwet). Общедоступных версий этого продукта Adobe не нашла. По словам экспертов, обе утилиты происходят из одного источника.

Разработчик поделился своими находками с производителями антивирусного ПО и решил аннулировать потерявший доверие сертификат, выпустив соответствующие обновления. Поскольку, обнаружив абьюз, Adobe приостановила эксплуатацию инфраструктуры сертификации своих разработок, ей пришлось запустить временный сервис цифровой подписи, чтобы не отстать от графика. Временное решение предусматривает процедуру ручной верификации оффлайн и позволит также заново подписать все компоненты, выпущенные после 10 июля и подписанные тем же ключом, что и хакерские утилиты.

Отзыв сертификата распространяется на ряд программных продуктов Adobe, совместимых с платформой Windows, и на 3 приложения Adobe AIR, работающих как под Windows, так и под Mac OS: Adobe Muse, Adobe Story AIR и сервисы Acrobat.com для настольных ПК. По словам экспертов, замена сертификата в большинстве случаев не потребует каких-либо действий от пользователя. Список программ, получающих новую подпись, и инструкции по установке обновлений приведены на сайте техподдержки компании.

Adobe отзывает сертификат, использованный злоумышленниками

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике