Hackers hebben ingebroken op het netwerk van Adobe en malware ondertekend met een valide Adobe certificaat. Het concern trekt het certificaat pas op 4 oktober in.

Hackers hebben een certificaatserver van Adobe gehackt en die gebruikt om malware te signen met een geldig certificaat, vergelijkbaar met de cyberaanval op DigiNotar vorig jaar. Adobe brengt het nieuws zelf naar buiten in een gedetailleerd bericht.

Hackers hebben een server gekraakt die gebruikt wordt voor het samenstellen van Adobe software (een zogenaamde build server) en deze machine had direct toegang tot de certificaatserver die code ondertekent.
Wachtwoordsteler en vals ISAPI-filter

Het concern heeft zelf ten minste twee malware samples geïdentificeerd, die gesigned zijn met het Adobe certificaat, en dus in principe door alle computers worden vertrouwd. Het gaat om een wachtwoordsteler "pwdump7 v7.1", die ongemerkt wachtwoordhashes uit Windows exfiltreert. Dit bestand wordt ook gebruikt als link naar de OpenSSL library in Windows, libeay32.dll.

De tweede aangetroffen malware is geschreven om de Microsoft webserver IIS te manipuleren zodat die bepaald IP-verkeer wel of niet doorlaat (een zogenaamd ISAPI-filter).
Gedeeltelijke revocation

Adobe moet nu halsoverkop alle legitieme software die met hetzelfde certificaat is gesigned van een nieuw certificaat voorzien. Die zullen worden verspreid met een noodpatch.

Daarom zal het gecompromitteerde certificaat pas op 4 oktober worden ingetrokken (revoked). Adobe benadrukt dat de private keys van de certificaatserver zelf veilig zijn, en trekt daarom niet het hele certificaat in, maar alleen alle software die er sinds 10 juli mee ondertekend is.

Deze strategie is vergelijkbaar met DigiNotar, die eerst beperkte damage control deed. Later bleken de hackers veel dieper te zijn doorgedrongen.
Reader, Flash, Air

Niet alle software van Adobe is 'besmet' door het hackincident, maar wel een belangrijk deel. De server werd namelijk gebruikt voor het ondertekenen van Adobe-software op Windows en Adobe Air, dat werkt op Windows en Mac OS X.

Dat betekent dus waarschijnlijk een update voor veelgebruikte software als PDF Reader en Flash. Adobe benadrukt dat het geen aanwijzingen heeft dat de hackers ook de broncode van enige software heeft bemachtigd.

Onderzoeker Mikko Hypponen van F-Secure meldt dat uit hun database blijkt dat er ruim 5000 legitieme applicaties met hetzelfde certificaat zijn ondertekend, maar het is niet bekend hoeveel daarvan na 10 juli zijn uitgegeven. F-Secure zelf detecteert momenteel drie verdachte software-samples met valide Adobe-certificaat.
Flame, DigiNotar deja vu

Eerder dit jaar werd bekend dat supermalware Flame was ondertekend met geldige Microsoft-certificaten. Microsoft moest toen vol aan de bak om het vertrouwen in zijn cruciale software-update infrastructuur te herstellen. Tientallen certificaten moesten worden ingetrokken.

In maart sloegen verschillende securitydeskundigen alarm over de sterke groei van malware die is ondertekend met valide certificaten van softwaremakers.