हैकर्स एडोब सर्वर समझौता करते हैं, दुर्भावनापूर्ण फ़ाइलों पर डिजिटल हस्ताक्षर करने के लिए इसका उपयोग करें

हैकर्स ने कंपनी के आंतरिक सर्वरों में से एक समझौता किए जाने के बाद कोड-हस्ताक्षर प्रमाणपत्र को रद्द करने की योजना बनाई और इसे दो दुर्भावनापूर्ण उपयोगिताओं पर डिजिटल हस्ताक्षर करने के लिए उपयोग किया।

" हमें सितंबर 12 की देर शाम को एक अलग, अलग (अज्ञात) स्रोत से दुर्भावनापूर्ण उपयोगिताएं मिलीं, "एडोब में कॉर्पोरेट संचार के वरिष्ठ प्रबंधक विबेके लिप्स ने गुरुवार को ईमेल के माध्यम से कहा। "जैसे ही हस्ताक्षर की वैधता की पुष्टि हुई, हमने तुरंत हस्ताक्षर उत्पन्न करने के लिए प्रयुक्त प्रमाण पत्र को निष्क्रिय और निरस्त करने के लिए कदम उठाए।"

दुर्भावनापूर्ण उपयोगिताओं में से एक Pwdump7 संस्करण 7.1 की डिजिटल हस्ताक्षरित प्रति थी, जो सार्वजनिक रूप से उपलब्ध थी Windows खाता पासवर्ड निष्कर्षण उपकरण जिसमें libeay32.dll OpenSSL लाइब्रेरी की एक हस्ताक्षरित प्रति भी शामिल है।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

दूसरी उपयोगिता आईएसएपीआई फ़िल्टर था जिसे myGeeksmail.dll कहा जाता है। आईएसएपीआई फ़िल्टर को विंडोज़ वेब सर्वरों के लिए आईआईएस या अपाचे में स्थापित किया जा सकता है ताकि HTTP स्ट्रीम को अवरुद्ध और संशोधित किया जा सके।

समझौता किए जाने के बाद मशीन पर दो दुष्ट उपकरण का इस्तेमाल किया जा सकता है और संभवतः सुरक्षा सॉफ़्टवेयर द्वारा स्कैन पास किया जाएगा डिजिटल हस्ताक्षर एडोब से आने वाले वैध दिखाई देंगे।

"कुछ एंटीवायरस समाधान एंटीवायरस के एक वरिष्ठ ई-धमकी विश्लेषक बोगदान बोटेजातु ने कहा," माइक्रोसॉफ्ट या एडोब जैसे भरोसेमंद सॉफ्टवेयर निर्माताओं से आने वाले वैध डिजिटल प्रमाणपत्रों के साथ हस्ताक्षरित फाइलों को स्कैन नहीं करते हैं। " विक्रेता बिट डिफेंडर। "इससे हमलावरों को एक बड़ा फायदा मिलेगा: भले ही इन फ़ाइलों को स्थानीय रूप से स्थापित एवी द्वारा खोजा गया था, फिर भी उन्हें स्कैनिंग से डिफ़ॉल्ट रूप से छोड़ दिया जाएगा, जो नाटकीय रूप से हमलावरों को सिस्टम का शोषण करने का मौका बढ़ाता है।"

ब्रैड आर्किन, एडोब के उत्पादों और सेवाओं के लिए सुरक्षा के वरिष्ठ निदेशक, ने एक ब्लॉग पोस्ट में लिखा था कि नकली कोड नमूने को माइक्रोसॉफ़्ट एक्टिव प्रोटेक्शन प्रोग्राम (एमएपीपी) के साथ साझा किया गया है, इसलिए सुरक्षा विक्रेता उन्हें पहचान सकते हैं। एडोब का मानना ​​है कि "उपयोगकर्ताओं का विशाल बहुमत जोखिम में नहीं है" क्योंकि जिन लोगों पर हस्ताक्षर किए गए थे, वे सामान्य रूप से "अत्यधिक लक्षित हमलों" के दौरान उपयोग किए जाते हैं, उन्होंने व्यापक रूप से नहीं लिखा।

"फिलहाल, हमने सभी को ध्वजांकित किया है प्राप्त नमूने दुर्भावनापूर्ण के रूप में और हम अपने भौगोलिक वितरण की निगरानी जारी रखते हैं, "बोटेजातु ने कहा। बिट डिफेंडर एमएपीपी में नामांकित सुरक्षा विक्रेताओं में से एक है।

हालांकि, बोटेज़ैटू यह नहीं कह सकता कि अगर इनमें से किसी भी फाइल को कंपनी के उत्पादों द्वारा संरक्षित कंप्यूटरों पर सक्रिय रूप से पता चला है। बोटेजातु ने कहा, "यह कहना बहुत जल्दी है, और हमारे पास अभी तक पर्याप्त डेटा नहीं है।"

"फिलहाल, हमने सभी प्राप्त नमूने को दुर्भावनापूर्ण रूप से ध्वजांकित किया है और हम अपने भौगोलिक वितरण की निगरानी जारी रखते हैं।"

एडोब ने समझौते को एक आंतरिक "बिल्ड सर्वर" पर वापस खोज लिया जिस पर कोड-हस्ताक्षर बुनियादी ढांचे तक पहुंच थी। लिप्स ने कहा, "हमारी जांच अभी भी चल रही है, लेकिन इस समय, ऐसा लगता है कि प्रभावित बिल्ड सर्वर को पहली बार जुलाई के अंत में समझौता किया गया था।"

"आज तक हमने बिल्ड सर्वर पर मैलवेयर की पहचान की है और संभावित तंत्र पहले बिल्ड सर्वर तक पहुंच हासिल करें, "आर्किन ने कहा। "हमारे पास दुर्भावनापूर्ण उपयोगिताओं पर हस्ताक्षर करने के लिए बिल्ड सर्वर को जोड़ने वाले फोरेंसिक सबूत भी हैं।"

बिल्ड सर्वर की कॉन्फ़िगरेशन इस प्रकृति के सर्वर के लिए एडोब के कॉर्पोरेट मानकों तक नहीं थी, अरकिन ने कहा। "हम जांच कर रहे हैं कि इस मामले में हमारी कोड-हस्ताक्षर पहुंच प्रावधान प्रक्रिया इन कमीओं की पहचान करने में विफल क्यों रही।"

दुरुपयोग कोड-हस्ताक्षर प्रमाणपत्र 14 दिसंबर, 2010 को वेरीसाइन द्वारा जारी किया गया था, और इसे एडोब के निरस्त करने के लिए निर्धारित किया गया है। 4 अक्टूबर को अनुरोध। यह ऑपरेशन 10 जुलाई, 2012 के बाद हस्ताक्षरित Adobe सॉफ़्टवेयर उत्पादों को प्रभावित करेगा।

"यह केवल विंडोज प्लेटफ़ॉर्म पर चलने वाले प्रभावित प्रमाणपत्र से हस्ताक्षरित एडोब सॉफ़्टवेयर को प्रभावित करता है और विंडोज और मैकिंटोश दोनों पर चलने वाले तीन एडोब एआईआर अनुप्रयोगों को प्रभावित करता है।" 99

एडोब ने एक सहायता पृष्ठ प्रकाशित किया जिसमें प्रभावित उत्पादों की सूची है और इसमें शामिल हैं एक नए प्रमाणपत्र के साथ हस्ताक्षरित अद्यतन संस्करणों के लिंक।

Symantec, जो अब VeriSign प्रमाणपत्र प्राधिकरण का मालिक है और संचालित करता है, ने जोर देकर कहा कि दुरुपयोग कोड-हस्ताक्षर प्रमाणपत्र पूरी तरह से एडोब के नियंत्रण में था।

"सिमेंटेक के कोड-हस्ताक्षर प्रमाणपत्रों में से कोई भी नहीं जोखिम में थे, "सिमेंटेक ने गुरुवार को एक ईमेल में बयान में कहा। "यह सिमेंटेक के कोड-हस्ताक्षर प्रमाणपत्र, नेटवर्क या आधारभूत संरचना का समझौता नहीं था।"

एडोब ने अपने कोड-हस्ताक्षर बुनियादी ढांचे को हटा दिया और इसे एक अंतरिम हस्ताक्षर सेवा के साथ बदल दिया जिसके लिए हस्ताक्षर किए जाने से पहले फाइलों को मैन्युअल रूप से जांचने की आवश्यकता होती है, अरकिन ने कहा। "हम एक नए, स्थायी हस्ताक्षर समाधान को डिजाइन और तैनात करने की प्रक्रिया में हैं।"

"इस घटना के निहितार्थों को निर्धारित करना मुश्किल है, क्योंकि हम यह सुनिश्चित नहीं कर सकते कि केवल साझा नमूने अधिकृत किए बिना हस्ताक्षर किए गए हों," बोटेजातु ने कहा। "यदि पासवर्ड डम्पर एप्लिकेशन और ओपन-सोर्स एसएसएल लाइब्रेरी अपेक्षाकृत निर्दोष हैं, तो नकली आईएसएपीआई फ़िल्टर का उपयोग मैन-इन-द-मिडल हमलों के लिए किया जा सकता है - ठेठ हमले जो उपयोगकर्ता से यातायात में सर्वर का उपयोग करते हैं और इसके विपरीत, दूसरों के बीच, "उन्होंने कहा।