Adobe sta indagando su quello che sembra essere l'uso improprio di un certificato digitale del codice Adobe. La società prevede di revocare il certificato, il 4 ottobre per tutto il codice software firmato dopo il 10 luglio 2012. L’azienda ha scoperto due malware firmati con certificato sha1RSA. Adobe è in procinto di rilasciare aggiornamenti firmati utilizzando un nuovo certificato digitale per tutti i prodotti interessati.
Brad Arkin, direttore dei prodotti di sicurezza e privacy di Adobe, ha riassunto lo stato attuale delle indagini avviate dall'azienda sull'uso inadeguato di certificati Adobe in un post sul blog. "La maggior parte dei clienti di Adobe non saranno influenzati da questo problema. Tuttavia, per alcuni clienti, in particolare gli amministratori di ambienti gestiti di Windows, potrebbe essere necessario adottare determinate azioni", spiega Arkin.
Per determinare se l'utente o l'organizzazione sono influenzati, Adobe ha messo a disposizione una pagina di supporto sul sito Web di Adobe. L'indagine in corso non ha rilevato pericoli per la privacy, quindi le informazioni sensibili non sono state compromesse. Adobe ha individuato due malware che utilizzano il certificato per mascherarsi come software legittimo.
Ciò significa che la loro eventuale installazione potrebbe permettere ai malintenzionati di elevare i privilegi di accesso e prendere il controllo del computer. Uno dei programmi firmati è lo strumento pwdump7 v.7.1 che permette di estrarre gli hash delle password da un sistema Windows ed è talvolta usato come un unico file che collega in modo statico la libreria OpenSSL libeay32.dll.
La seconda utility dannosa, myGeeksmail.dll, è un filtro ISAPI dannoso. A differenza della prima utility, Adobe non è a conoscenza di versioni accessibili al pubblico. La revoca del certificato influisce sulla piattaforma Windows e tre applicazioni Adobe AIR (Adobe Muse e applicazioni Adobe AIR Story e servizi desktop Acrobat.com) che girano su Windows e Macintosh.
La revoca non ha effetto su qualsiasi altro software di Adobe per Macintosh o altre piattaforme. Maggiori dettagli che descrivono l'impatto del certificato e le utilità dannose, inclusi i valori degli hash MD5 per i file, sono inclusi nell'Adobe Security Advisor. Brad Arkin scoraggia gli utenti di aggiungere manualmente il certificato rilasciato a "Adobe Systems Incorporated", emesso da VeriSign, numero di serie 15 e5 ac 0a 48 70 63 71 39 8e da 1a 52 30 04 88.
Adobe ha condiviso informazioni su questi file con i partner della comunità della sicurezza, tra i partecipanti al Microsoft Active Protections Program (MAPP) per consentire loro di sviluppare rapidamente metodi di rilevazione e di quarantena per la protezione contro i programmi di utilità impropriamente firmati. Per ulteriori informazioni relative a questo problema, è possibile consultare il seguente post sul blog.
Nessun commento:
Posta un commento