Архив новостей

Adobe отзывает сертификат, использованный злоумышленниками

Обнаружив 2 хакерские утилиты со своей цифровой подписью, Adobe убедилась в ее подлинности и начала расследование. Запятнанный сертификат будет заменен 4 октября для всех кодов, подписанных позднее 10 июля текущего года.

Как выяснилось, злоумышленникам удалось получить доступ к одному из build-серверов Adobe, имеющему выход на сервис цифровых подписей компании. Эксперты полагают, что взлому предшествовала целевая атака и несанкционированное проникновение в корпоративную сеть. Найдя ключи к серверу разработчиков, хакеры отправили с него запрос на подпись через стандартный протокол Adobe. К счастью, других прав доступа к инфраструктуре открытых ключей (PKI) у взломанного аккаунта не было. Приватный ключ, используемый для формирования цифровой подписи, компания хранит в отдельном, хорошо защищенном аппаратном модуле, и он не попал к злоумышленникам. Исходный код единственного продукта, который мог пострадать, оказался нетронутым. К прочим исходникам, включая Flash Player, Adobe Reader, Shockwave Player и Adobe AIR, взломанный сервер доступа не имел.

Adobe удалось идентифицировать сторонние программы, получившие стараниями хакеров ее цифровую подпись. Одна из них, pwdump7 v7.1, предназначена для извлечения хэшей паролей из Windows. Вторая, myGeeksmail.dll, была определена как фильтр ISAPI, который может использоваться для перехвата и подмены http-запросов на сервере (ЛК детектирует эту утилиту как Trojan.Win32.Agent.hwet). Общедоступных версий этого продукта Adobe не нашла. По словам экспертов, обе утилиты происходят из одного источника.

Разработчик поделился своими находками с производителями антивирусного ПО и решил аннулировать потерявший доверие сертификат, выпустив соответствующие обновления. Поскольку, обнаружив абьюз, Adobe приостановила эксплуатацию инфраструктуры сертификации своих разработок, ей пришлось запустить временный сервис цифровой подписи, чтобы не отстать от графика. Временное решение предусматривает процедуру ручной верификации оффлайн и позволит также заново подписать все компоненты, выпущенные после 10 июля и подписанные тем же ключом, что и хакерские утилиты.

Отзыв сертификата распространяется на ряд программных продуктов Adobe, совместимых с платформой Windows, и на 3 приложения Adobe AIR, работающих как под Windows, так и под Mac OS: Adobe Muse, Adobe Story AIR и сервисы Acrobat.com для настольных ПК. По словам экспертов, замена сертификата в большинстве случаев не потребует каких-либо действий от пользователя. Список программ, получающих новую подпись, и инструкции по установке обновлений приведены на сайте техподдержки компании.

Adobe отзывает сертификат, использованный злоумышленниками

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике