Des hackers usent d'un serveur Adobe pour signer des fichiers malveillants
Adobe prévoit de révoquer un certificat de signatures de code, après que des pirates aient compromis l'un des serveurs internes de l'entreprise et l'aient utilisé pour signer numériquement deux utilitaires malveillants.
"Nous avons reçu des informations concernant les utilitaires malveillants tard dans la soirée du 12 septembre à partir d'une seule et même source isolée" a déclaré Lips Wiebke, directeur principal des communications d'entreprise chez Adobe.
"Dès que la validité des signatures a été confirmée, nous avons immédiatement pris des mesures pour désactiver et révoquer le certificat utilisé pour les générer" poursuit-il. L'un des utilitaires malveillants frauduleusement signé par les pirates est une copie de Pwdump7 v.7.1, un outil d'extraction de mots de passe Windows contenant également une copie signée de la bibliothèque OpenSSL libeay32.dll. Le second utilitaire est un filtre ISAPI du nom de myGeeksmail.dll. Ce type de filtres peut être installé dans les serveurs web IIS ou Apache dans le but d'intercepter et de modifier les flux HTTP.
Des outils malveillants indétéctables
Les deux outils malveillants pourraient être utilisés sur une machine après que celle-ci ait été compromise. Ils passeraient sans doute inaperçus aux yeux des antivirus, les signatures numériques apparaissant comme légitime puisqu'en provenance directe de Adobe. "Certaines solutions antivirus n'analysent pas les fichiers signés avec des certificats numériques valides provenant de fabricants de logiciels dignes de confiance telles que Microsoft ou Adobe", déclare ainsi Bogdan Botezatu, un analyste pour l'éditeur d'antivirus BitDefender.
"Cela donne aux attaquants un énorme avantage: même si ces fichiers sont détectés de manière heuristique par l'antivirus installé localement, ils sont ignorés par défaut lors de l'analyse, améliorant considérablement les chances des hackers d'exploiter le système" prévient-il.
Brad Arkin, directeur de la sécurité chez Adobe, a écrit dans un blog que les codes des signatures numériques incriminées avaient tout de suite été partagés avec le programme Microsoft Active Protection (MAPP) afin que les fournisseurs de solutions antivirales puissent les détecter.
Adobe estime d'ailleurs que "la grande majorité des utilisateurs ne court pas de risques", les outils tels que ceux signés par les pirates étant normalement utilisés lors d'attaques très ciblées".
Cependant, M. Botezatu n'est pas encore en mesure de confirmer que l'un des fichiers malveillants a déjà été activement détecté sur les ordinateurs protégés par les produits de l'entreprise. "Il est trop tôt pour le dire, nous n'avons pas encore de données suffisantes", a-t-il précisé.
L'un des serveurs Adobe n'était pas aux normes
L'un des serveurs Adobe n'était pas aux normes
Dans son enquête, Adobe a déjà pu remonter jusqu'à un serveur interne ayant eu accès à son infrastructure de signatures de code. "Notre enquête se poursuit, mais à l'heure actuelle, il semble que le serveur affecté ait été compromis fin juillet". "À ce jour, nous avons identifié des programmes malveillants sur ce serveur de build et nous avons probablement repéré le mécanisme utilisé pour y accéder" a déclaré B.Arkin.
"Nous avons également des preuves scientifiques reliant le serveur de build à la signature des utilitaires malveillants". Il semblerait que la configuration du serveur de build n'était pas conforme aux normes de la société pour un serveur de cette nature. "Nous tentons de comprendre pourquoi notre procédure n'a pas réussi à identifier ces carences" précise Brad Arkin.
Pour les utilisateurs, Adobe a d'ores et déjà publié une page d'aide qui répertorie les produits concernés et contient des liens vers les versions mises à jour signées avec un certificat légitime. La firme a en outre remplacé son service de signatures par un service provisoire qui exige que les fichiers soient vérifiés manuellement avant d'être signés. Pour le moment, il reste difficile de déterminer les conséquences de cet incident. Adobe n'est en effet pas en mesure de déterminer si les échantillons partagés sont les seuls compromis...
