Włamali się do Adobe i podpisywali złośliwy kod jego certyfikatem

Możliwość podpisywania złośliwego kodu zaufanym certyfikatem znanego dostawcy jest Świętym Graalem wielu internetowych przestępców. Włamanie do serwera Adobe, umożliwiającego podpisywanie kodu, musiało być ich wielkim sukcesem.
Kilka lat temu system Windows wprowadził ograniczenia dla programów, które nie są podpisane zaufanym certyfikatem. Niechętnie takie programy wykonuje, wyświetla różne niepokojące komunikaty użytkownikowi, krótko mówiąc, przeszkadza przestępcom. Również niektóre mechanizmy antywirusowe przypisują dużo większy poziom zaufania plikom opatrzonym prawidłową, zaufaną sygnaturą, znacznie zwiększając możliwość prześliźnięcia się tak spreparowanych plików przez mechanizmy ochronne.
Ze względu na zastosowane mechanizmy kryptograficzne, podrobienie oryginalnego podpisu jest bardzo trudne (choć, jak pokazali autorzy wirusa Flame, nie jest całkiem niemożliwe). W związku z tym przestępcy próbują ukraść oryginalny certyfikat (jak w przypadku wirusa Stuxnet) lub dostać się do serwerów, umożliwiających podpisywanie kodu. Ten ostatni scenariusz miał miejsce kilka miesięcy temu w Adobe.
Wczoraj Adobe ogłosiło, że odkryło włamanie, które miało miejsce w… lipcu 2012. I nie odkryło go dzięki analizie swojej infrastruktury, lecz dopiero po otrzymaniu próbek złośliwego kodu, podpisanego prawidłowym certyfikatem przez przestępców.
Jak doszło do włamania
Analiza powłamaniowa wykazała, że przestępcy najpierw uzyskali przyczółek w infrastrukturze Adobe (prawdopodobnie dostęp do komputera jednego z pracowników), który następnie wykorzystali do przejęcia kontroli nad jednym z serwerów odpowiadających za kompilację i tworzenie finalnej wersji jednej z aplikacji. Jak twierdzi Adobe, serwer ten nie spełniał zwyczajowych wymogów bezpieczeństwa, jednak problem ten nie został nigdy zidentyfikowany. Włamywacze, po uzyskaniu dostępu do serwera, wykorzystali go do zażądania podpisów cyfrowych dwóch aplikacji swojego autorstwa.
Jaka była skala włamania?
Adobe twierdzi, że klucze prywatne, niezbędne do podpisywania kodu, przechowywane są w sprzętowym module kryptograficznym i ich bezpieczeństwo nie zostało naruszone. Infrastruktura odpowiedzialna za podpisywanie kodu przyjmowała żądania podpisu jedynie od zaufanych serwerów w sieci wewnętrznej – to właśnie wykorzystali przestępcy, zdobywając kontrolę nad jedną z zaufanych maszyn.
Adobe zapewnia, że maszyna przejęta przez włamywaczy nie miała dostępu do kodu źródłowego żadnego kluczowego oprogramowania firmy, w szczególności nie był zagrożony kod źródłowy Adobe Readera, Flash Playera, Shockwave Playera oraz Adobe AIR. Według dostępnych informacji serwer miał dostęp jedynie do kodu Adobe Muse, aplikacji Adobe Story AIR oraz usług desktopowych Acrobat.com.
Jaki kod został podpisany?
Analiza dwóch próbek kodu podpisanego przez przestępców wykazała, że jedna próbka była standardowym narzędziem PwDump7, służącym do wyciągania hashy haseł w systemach Windows (podpisane były oba pliki niezbędne do prawidłowego działania tego narzędzia, libeay32.dll oraz PwDump7.exe). Drugi plik o nazwie myGeeksmail.dll okazał się być filtrem ISAPI, jednak jego przeznaczenie nie jest znane. Zwykle filtry te służą do modyfikowania zachowania serwera IIS w oparciu o zdefiniowane kryteria ruchu przychodzącego, zatem mogły służyć np. do przeprowadzenia ataków typu MiTM. Co istotne, w jednym z największych repozytoriów złośliwego kodu, prowadzonym przez F-Secure, nie znaleziono innych niż wyżej opisane próbek kodu podpisanego tym samym certyfikatem. Oznacza to, że możliwość podpisania kodu była prawdopodobnie wykorzystana jedynie w bardzo ściśle ukierunkowanym ataku. Więcej informacji o podpisanych plikach można znaleźć w biuletynie bezpieczeństwa Adobe.
Co zrobiło Adobe?
Oczywiście natychmiast po wykryciu zagrożenia Adobe wyłączyło fragment infrastruktury opanowany przez włamywaczy. Przeprowadziło również śledztwo, dzięki czemu poznało prawdopodobny mechanizm włamania. Certyfikat wykorzystany przez przestępców zostanie odwołany 4 października, by umożliwić wszystkim użytkownikom aplikacji legalnie nim podpisanych aktualizację do nowszej wersji. Adobe opracowało także bardzo szczegółowy komunikat dotyczący wszystkich aspektów tego niefortunnego incydentu oraz wskazówki dotyczące konieczności aktualizacji poszczególnych produktów.
Podobne wpisy
- Jak Ściąga.pl została zdjęta przez FBI, ale tak naprawdę to nie
- Nietypowy atak e-mailowy związany z Ukrainą od naszych sąsiadów ze wschodu
- Revolut zhakowany, wykradziono dane ponad 50 tysięcy klientów
- Jak włamano się do Ubera i dlaczego najwyraźniej nie było to trudne
- Ciekawy incydent bezpieczeństwa w LastPassie (nie, hasła nie wyciekły)
komentarzy 5
[…] nie ma ostatnio dobrej passy. Półtora miesiąca temu okazało się, że włamywacze podpisywali swoje pliki certyfikatem Adobe, a dzisiaj firma przyznała się, że włamano się na forum dla jej […]
[…] O dziwo w tej historii ani razu nie pada oskarżenie pod adresem Chińczyków, do którego jesteśmy ostatnio przyzwyczajeni. Nie da się jednak ukryć, że włamywanie się do serwerów podpisujących kod w firmie antywirusowej raczej nie powinno być trywialnym zadaniem – szczególnie, jeśli to włamanie ma być jedynie krokiem na drodze zdobycia dostępu gdzie indziej. Włamywaczowi musiało bardzo zależeć na dotarciu do sieci docelowej – i jak wynika z komunikatu, cel został osiągnięty. Nie znamy ani ram czasowych, ani zakresu włamania, jednak dla firmy takiej jak Bit9 jest to ogromna kompromitacja. Włamanie na stronę www można by jeszcze przeżyć, ale dotarcie włamywaczy do serwera podpisującego kod jest porażką na całej linii (choć nie jest to odosobniony przypadek – identyczny problem miało pół roku temu Adobe). […]
[…] PS. Opera nie jest pierwszą dużą firmą, której certyfikat został wykorzystany do podpisania złośliwego oprogramowania – całkiem niedawno opisywaliśmy podobne wpadki Bit9 i Adobe. […]
[…] także dane kont abonentów usług Adobe. Nie jest to pierwsza kompromitacja tej firmy. Rok temu włamywacze dostali się do serwerów odpowiedzialnych za cyfrowe podpisywanie kodu i podpisali swoj…, a krótko potem dane 150 tysięcy użytkownik zostały wykradzione z jednego z firmowych […]
[…] nie można się uchronić przed udanymi atakami na infrastrukturę podpisującą pliki (vide Adobe lub […]