Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Tanúsítványt loptak az Adobe-tól

2012.09.28. 10:10 | buherator | 1 komment

Az ilyen szituációkra mondja azt az angol, hogy a szar elérte a ventillátort: júliusban kompromittálták az Adobe kód-aláíró infrastruktúráját, és a cég nevében aláírt állományokat célzott támadáshoz használták. A támadók először egy kevésbé fontos Adobe gépre jutottak be, ahonnan kiterjesztették hatalmukat egy build-szerverre, aminek hozzáférése volt némi forráskódhoz illetve kérhetett kód aláírást is. A lehetőséget a jól ismert pwdump7.exe és libeay32.dll, valamint egy egyedi ISAPI szűrőt megvalósító DLL hitelesítésére használták fel - legalábbis eddig ezekből a fájlokból látott mintát a cég. 

Az érintett tanúsítvány visszavonására október 4-én fog sor kerülni, a visszavonás az Adobe Muse, Adobe Story valamint az Adobe.com asztali alkalmazásokat fogja érinteni. Az Adobe ezen kívül arra figyelmeztet, hogy az érintett tanúsítvány átmozgatása a Windows megbízhatatlan tanúsítványai közé nem akadályozza meg a most felfedezett rosszindulatú kódok futását. 

A cég a teljes kód-aláíró infrastruktúráját lekapcsolta és vizsgálatnak vetette alá, melyből kiderült, hogy a HSM-ben tárolt privát kulcs nem került illetéktelen kezekbe. A forráskódokat illetően biztos, hogy a népszerű alkalmazásokhoz (Flash Player, Shockwave Player, Reader, AIR) a kompromittált build szervernek nem volt hozzáférése, és hogy az általa hozzáférhető alkalmazások forráskódját nem  módosították vagy lopták el. 

Az Adobe a biztonsági szoftver gyártókkal együttműködve dolgozik azon, hogy a végpont-védelmi megoldások detektálják az érintett tanúsítvánnyal hitelesített fájlokat. 

Ha fejlemény van, frissítem a posztot.

Címkék: adobe incidens pki

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.