Em memória de Giordani Rodrigues
Total Security - infoguerra.com.br
Segurança
Segunda - 01 de Outubro de 2012 às 09:20

    Imprimir


A Adobe planeja revogar um código de assinatura de certificados depois que crackers comprometeram um dos servidores internos da empresa e o utilizaram para assinar digitalmente dois utilitários maliciosos.

"Recebemos os aplicativos arbitrários no final da noite de 12 de setembro a partir de uma única fonte (sem nome) isolada", disse o gerente sênior de comunicações corporativas da Adobe, Lips Wiebke, por e-mail. "Tão rápido quanto a validade das assinaturas foi confirmada, imediatamente tomamos medidas para desativar e revogar o certificado usado para gerar tais assinaturas."

Um dos utilitários era uma cópia assinada digitalmente do "Pwdump7" versão 7.1, uma ferramenta pública de extração de senha do Windows, que também incluiu uma cópia assinada da biblioteca "OpenSSL libeay32.dll". O outro era um filtro ISAPI chamado "myGeeksmail.dll". Filtros ISAPI podem ser instalados no IIS ou Apache para servidores Web Windows, a fim de interceptar e modificar fluxos HTTP.

As duas ferramentas desonestas poderiam ser usadas em uma máquina depois de comprometida e passar despercebidas por uma verificação de software de segurança, uma vez que suas assinaturas digitais são legítimas, certificadas pela Adobe.

"Alguns antivírus não verificam arquivos assinados com certificados digitais válidos, provenientes de fabricantes de software confiáveis ​​como a Microsoft ou a Adobe", disse o analista sênior de ameaças virtuais, Bogdan Botezatu, da empresa de antivírus BitDefender. "Isso daria aos atacantes uma enorme vantagem: mesmo que esses arquivos fossem detectados pelo software instalado localmente, seriam ignorados pelo padrão de digitalização, o que aumenta drasticamente a chance de crackers explorarem o sistema."

O diretor sênior de segurança para produtos e serviços da Adobe, Brad Arkin, escreveu em seu blog que as amostras de códigos maliciosos foram compartilhadas com o Microsoft Active Protection Program (MAPP), para que fornecedores de segurança pudessem detectá-los. A empresa acredita que "a grande maioria dos usuários não está em risco", porque ferramentas como as que foram assinadas são normalmente utilizadas durante "ataques altamente segmentados", escreveu.

"No momento, temos sinalizadas todas as amostras recebidas como "malicioso" e continuamos monitorando sua distribuição geográfica", disse Botezatu. A BitDefender é um dos fornecedores de segurança inscritos no MAPP.
 
No entanto, o especialista não pode dizer se algum desses arquivos foi ativamente detectado nos computadores protegidos por produtos da empresa. "É muito cedo para dizer, e não temos dados suficientes ainda", afirmou.

A Adobe rastreou o servidor interno comprometido, que teve acesso a sua infraestrutura de assinatura de código. "Nossa investigação ainda está em curso, mas, neste momento, parece que o servidor atingido foi comprometido no final de julho", disse Lips.




Fonte: IDGNOW

Comentários

Deixe seu Comentário

URL Fonte: https://infoguerra.com.br/noticia/2734/visualizar/