Avisos 01 de October, 2012

Revocació de certificat compromès de Adobe

 

Adobe ha publicat un avís de seguretat per informar de la propera revocació d'un certificat de signatura de codi el proper 4 d'octubre. Aquest certificat ha estat utilitzat per signar almenys tres arxius possiblement maliciosos, durant una intrusió en els sistemes de l'empresa.

 

Impacte

Falsificació de signatura, suplantació d'identitat, execució de codi maliciós.

 

Productes afectats

La revocació del certificat afecta la plataforma Windows i tres aplicacions d'Adobe AIR (Adobe Muse i Adobe Story AIR, així com els serveis d'escriptori d'Acrobat.com) que s'executen en Windows i Macintosh.

La revocació no afecta cap altre programari d'Adobe per a Macintosh o altres plataformes. Adobe Flash Player, Adobe Acrobat i Adobe Reader no estan afectats.

 

Solució

Per obtenir certificats actualitzats, els usuaris i administradors disposen de tres opcions:

  • Per CS6 i Cloud Creativa Seleccioneu Ajuda> Actualitzar en el programari. Si vostè és un subscriptor de Adobe Creactive Cloud, pot obtenir actualitzacions que contenen funcionalitats que no estan disponibles a les actualitzacions regulars del producte a Adobe.com.
  • Descarregar i instal·lar l'Eina de Resposta al Client d'Adobe per a Windows. L'eina determina quins productes tenen certificats actualitzats i enllaça a les descàrregues corresponents. (No disponible per Creative Cloud).
  • Descarregar manualment les actualitzacions de Adobe.com.

 

Detall

APSA12-01: el certificat afectat té les següents característiques:

  • Certificat de tipus sha1RSA
  • Emès per Adobe Systems Indorporated.
  • Emès per l'autoritat de certificació VeriSign Class 3 Code Signing 2010
  • Número de sèrie: 15 i5 ac 0a 48 70 63 71 8e 39 dóna 52 30 1 abr 88
  • Empremta digital sha1: fd f0 1d d3 f3 7c 66 ac 4c 77 9d 92 62 3c 77 81 4 jul fe 4c
  • Vàlid des del 14 desembre 2010 5:00 pm PST (GMT -8:00) fins el 14 de desembre de 2012 a les 04:59:59 pm PST (GMT -8:00)

La signatura dels fitxers no autoritzats es va produir durant una intrusió en un dels sistemes de l'empresa amb accés al servei de signatura. Segons el fabricant, en cap moment es va tenir accés directe al certificat, i aquest no va poder ser extret de la màquina en la qual es troba instal·lat.

Fins ara, s'han detectat dues utilitats malicioses signades amb el certificat compromès:

  • pwdump7 v7.1: aquesta utilitat extreu els hash de contrasenyes del sistema operatiu Windows i s'utilitza de vegades com un arxiu únic que es vincula estàticament la llibreria OpenSSL libeay.dll. La mostra detectada va incloure dos arxius separats i signats individualment.
    • PwDump7.exe:
      MD5 hash: 130F7543D2360C40F8703D3898AFAC22
    • libeay32.dll
      MD5 hash: 095AB1CCC827BE2F38620256A620F7A4
  • myGeeksmail.dll, que sembla ser un filtre maliciós de tipus ISAPI. A diferència de la primera utilitat, no hi ha notícies de versions públiques d'aquest filtre ISAPI.
    • myGeeksmail.dll
      MD5 hash: 46DB73375F05F09AC78EC3D940F3E61A

 

Referències

Publicat a: Avisos