Certificado Digital de Adobe comprometido ha sido utilizado para firmar herramientas de hacking: ¡A revocar!
A través de un post titulado "Inappropriate Use of Adobe Code Signing Certificate" - Uso inapropiado de certificado de firma de código de Adobe - la compañía ha alertado a los usuarios de la necesidad de actualizar sus productos ante una inminente revocación del certificado digital con el que algunos de ellos se encuentran firmados, ya que ha sido comprometida su seguridad y a principios de Octubre dejará de tener validez.
El incidente parece que tuvo lugar al quedar comprometido un servidor de compilación a finales de Julio, en el que se encontraba el certificado digital para firmar el código. Dicho certificado fue utilizado para firmar la popular herramienta PwDump7 - junto con la librería libeay32.dll de OpenSSL - que se utiliza para volcar las contraseñas de sistemas Microsoft Windows desde el LSA, y myGeeksmail.dll que es un filtro ISAPI que puede instalarse en servidores web para interceptar y manipular las conexiones HTTP lo que permitiría a un atacante acceder a toda la información que por ese servidor web pase y modificarla a gusto.
Los detalles y hashes MD5 de los ficheros firmados han sido publicados en un Security Advisory desde Adobe APSA 12-01 y son los siguientes:
PwDump7.exe
MD5 hash: 130F7543D2360C40F8703D3898AFAC22
Tamaño: 81.6 KB (83,648 bytes)
Signature timestamp: Thursday, July 26, 2012 8:44:40 PM PDT (GMT -7:00)
MD5 hash del fichero sin firma: D1337B9E8BAC0EE285492B89F895CADB
libeay32.dll
MD5 hash: 095AB1CCC827BE2F38620256A620F7A4
Tamaño: 999 KB (1,023,168 bytes)
Signature timestamp: Thursday, July 26, 2012 8:44:13 PM PDT (GMT -7:00)
MD5 hash del fichero sin firma: A7EFD09E5B963AF88CE2FC5B8EB7127C
myGeeksmail.dll
MD5 hash: 46DB73375F05F09AC78EC3D940F3E61A
Tamaño: 80.6 KB (82,624 bytes)
Signature timestamp: Wednesday, July 25, 2012 8:48:59 PM (GMT -7:00)
MD5 hash del fichero sin firma: 8EA2420013090077EA875B97D7D1FF07
Según cuentan, a Adobe llego una copia de estos ficheros el 12 de Septiembre desde una fuente anónima, y desde entonces han trabajado en firmar el software con otros certificados digitales y poner actualizaciones de sus programas afectados disponibles, además de informar al Microsoft Active Protection Program y fabricantes de soluciones de seguridad para que detecten estos ficheros como maliciosos.
El tener las herramientas de hacking firmadas con un certificado de firma de código de Adobe es casi un salvoconducto contra cualquier antimalware, ya que estos cuentan con medidas especiales para no detectar como malware software firmado por entidades certificadoras de confianza, lo que hace que muchos de ellos ni los analicen. El contar con una firma de confianza hace que estas herramientas no levanten ninguna sospecha en los motores antimalware que quieren evitar casos como el de McAffe que "decidió" firmar como malware a Excel - y 7 páginas más de falsos positivos - o el reciente caso de Shopos que se detectaba a sí mismo como malware.
Por supuesto, estas herramientas son de post-explotación, y si alguien se ha tomado la molestia de firmarlas digitalmente mediante el robo de certificados a Adobe es debido a que se estaba preparando, o se hizo, un ataque dirigido y no un hacking masivo, aunque parece que han durado muy poco tiempo sin ser detectado.
La lista de software de Adobe que tiene que ser actualizado ahora - debido a que había sido firmado por este certificado - está publicada en la web de Adobe, así que si tienes este software desplegado en tu empresa atento a las actualizaciones, que cuando esté revocado digitalmente el certificado los usuarios empezarán a ver alertas "raras" en la ejecución.
Casos como este, que se suma al incidente de Comodo o de Diginotar - que Apple tardó un mes en revocar en iPhone & iPad - , al del malware firmado con un certificado de desarrollador de Microsoft y distribuido por Windows Update, o el más impactante ataque criptográfico a los certificados digitales de Microsoft en el caso de Flame, hacen que confiar en la firma digital de un software o una conexión sea confiable ... solo en un porcentaje del total de los casos.
Saludos Malignos!
1 comentario:
Muy interesante Chema!
Gracias por el aviso.
Publicar un comentario