يقوم المتسللون باختراق خادم Adobe ، واستخدامه لتوقيع الملفات الضارة رقميا

تخطط Adobe لإلغاء شهادة توقيع الشفرة بعد أن قام المخترقون بتهديد أحد الخوادم الداخلية للشركة واستخدمها لتوقيع رقميين خبيثين.

لقد تلقينا المرافق الخبيثة في وقت متأخر من مساء 12 سبتمبر من مصدر واحد ، معزول (غير مسمى) ، وقال فيبك ليبس ، كبير مديري اتصالات الشركات في Adobe ، يوم الخميس عبر البريد الإلكتروني. "بمجرد تأكيد صحة التوقيعات ، شرعنا على الفور في خطوات لإلغاء وإلغاء الشهادة المستخدمة لإنشاء التواقيع."

إحدى الأدوات المساعدة الضارة كانت نسخة موقعة رقمياً من Pwdump7 الإصدار 7.1 ، وهي متاحة للجمهور. أداة استخراج كلمة مرور حساب Windows التي تتضمن أيضًا نسخة موقعة من مكتبة libeay32.dll OpenSSL.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

كانت الأداة المساعدة الثانية هي عامل تصفية ISAPI يُسمى myGeeksmail.dll. يمكن تثبيت مرشحات ISAPI في خوادم IIS أو Apache لويندوز ويب من أجل اعتراض تدفقات HTTP وتعديلها.

يمكن استخدام الأداتين الخادعتين على جهاز بعد اختراقه ، ومن المرجح أن يمرر مسح بواسطة برنامج أمان منذ تبدو التوقيعات الرقمية شرعية قادمة من Adobe.

"بعض حلول مكافحة الفيروسات لا تفحص الملفات الموقعة بشهادات رقمية صالحة قادمة من صانعي برامج موثوقين مثل مايكروسوفت أو أدوبي" ، قال بوجدان بوتيزاتو ، وهو محلل كبير للتهديدات الإلكترونية في مكافحة الفيروسات بائع BitDefender. "هذا من شأنه أن يمنح المهاجمين ميزة كبيرة: حتى لو تم الكشف عن هذه الملفات من قبل AV المثبتة محليًا ، فسيتم تخطيها بشكل افتراضي من المسح الضوئي ، مما يعزز بشكل كبير فرصة المهاجمين لاستغلال النظام."

Brad Arkin وكتب كبير مدراء أمن المنتجات والخدمات في أدوبي ، في مقالة على المدوّنة ، أنه تمت مشاركة عينات الرموز المارقة مع برنامج الحماية النشطة من Microsoft (MAPP) حتى يتمكن موردو الأمن من اكتشافها. يعتقد Adobe أن "الغالبية العظمى من المستخدمين ليسوا معرضين للخطر" لأن أدوات مثل تلك التي تم توقيعها يتم استخدامها عادةً خلال "الهجمات شديدة الاستهداف" ، وليست الشائعة على نطاق واسع ، كما كتب.

"في هذه اللحظة ، وضعنا علامة على جميع وقال Botezatu العينات الواردة كما الخبيثة ونواصل مراقبة توزيعها الجغرافي. BitDefender هو أحد بائعي الأمن المسجلين في MAPP.

ومع ذلك ، لم يستطع Botezatu تحديد ما إذا تم اكتشاف أي من هذه الملفات على أجهزة الكمبيوتر المحمية بمنتجات الشركة. وقال: "من السابق لأوانه معرفة ذلك ، وليس لدينا بيانات كافية حتى الآن."

"في الوقت الحالي ، قمنا بتعليم جميع العينات التي تم تلقيها على أنها خبيثة ، ونحن نواصل مراقبة توزيعها الجغرافي".

تتبعت Adobe هذا الاختراق إلى "خادم إنشاء" داخلي يمكنه الوصول إلى البنية الأساسية لتوقيع الشفرة. قال ليبس: "لا يزال تحقيقنا مستمراً ، ولكن في هذا الوقت ، يبدو أن خادم الإنشاء المتأثر قد تم اختراقه لأول مرة في أواخر يوليو."

"حتى الآن ، حددنا برامج ضارة على خادم الإنشاء والآلية المحتملة المستخدمة أول الحصول على الوصول إلى خادم البناء ، وقال أركين. "لدينا أيضًا أدلة جنائية تربط خادم الإنشاء بتوقيع الأدوات المساعدة الضارة."

لم يكن تكوين خادم الإنشاء على مستوى معايير شركة Adobe لخادم من هذا النوع ، على حد قول أركين. "نحن نحقق من سبب فشل عملية التزويد بالوصول إلى توقيع الشفرة في هذه الحالة في تحديد أوجه القصور هذه."

تم إصدار شهادة توقيع الشفرة المسيئة بواسطة VeriSign في 14 ديسمبر 2010 ، ومن المقرر إلغاءها في Adobe. طلب في 4 أكتوبر. سوف تؤثر هذه العملية على منتجات برامج Adobe التي تم توقيعها بعد 10 يوليو 2012.

"هذا يؤثر فقط على برنامج Adobe الذي تم توقيعه بالشهادة المتأثرة التي تعمل على نظام Windows الأساسي وثلاثة تطبيقات Adobe AIR التي تعمل على كل من Windows و Macintosh" ، قال Arkin.

قامت Adobe بنشر صفحة مساعدة تسرد المنتجات المتأثرة وتحتوي على الارتباطات إلى الإصدارات المحدثة الموقعة بشهادة جديدة.

أكدت Symantec ، التي تملك الآن وتدير سلطة إصدار VeriSign ، أن شهادة توقيع الشفرة الخاطئة كانت بالكامل تحت سيطرة Adobe.

"لا شيء من شهادات توقيع الرموز الخاصة بشركة Symantec وقال سيمانتك في بيان أرسل عبر البريد الإلكتروني. "لم يكن ذلك بمثابة حل وسط لشهادات أو رموز أو شبكات الاتصال الخاصة برمز Symantec".

أخرجت Adobe البنية الأساسية لتوقيع الشفرة واستبدلتها بخدمة توقيع مؤقتة تتطلب فحص الملفات يدويًا قبل التوقيع عليها ، على حد قول Arkin. "نحن في صدد تصميم ونشر حل توقيع جديد دائم."

"من الصعب تحديد الآثار المترتبة على هذا الحادث ، لأننا لا نستطيع التأكد من أنه تم توقيع العينات المشتركة فقط بدون ترخيص". وقال Botezatu. "إذا كان تطبيق أداة المرور لكلمة المرور ومكتبة طبقة المقابس الآمنة مفتوحة المصدر غير مؤذية نسبيًا ، يمكن استخدام عامل تصفية ISAPI المألوف لهجمات الرجل في الوسط - الهجمات المعتادة التي تتلاعب بالمرور من المستخدم إلى الخادم والعكس بالعكس "من بين أمور أخرى ،" قال.