Adobe gehackt und missbraucht
Adobe untersucht derzeit einen Vorfall, bei dem Schadprogramme mit einer gültigen digitalen Unterschrift von Adobe zum Einsatz kamen. Offenbar gab es einen Einbruch in die interne Infrastruktur zum Erstellen digitaler Code-Signaturen.
Adobes Sicherheitschef Brad Arkin persönlich fasst in einem Blog-Beitrag den Stand der Erkenntnisse zur missbräuchlichen Verwendung von Adobe-Zertifikaten zusammen. Offenbar haben Unbekannte einen internen Server gehackt, um spezielle Schadprogramme mit einer gültigen digitalen Unterschrift zu versehen. Diese Tools wurden dann wohl für einen gezielten Angriff eingesetzt.
Eines der signierten Programme ist das Utility pwdump7, mit dem man Passwort-Hashes aus einem Windows-System extrahieren kann, um sie dann auf einem potenteren System zu knacken. Beim zweiten handelt es sich um einen so genannten ISAPI-Filter. Das sind spezielle Erweiterungen für Microsofts Web-Server-Software IIS, die diese quasi beliebig erweitern kann – beispielsweise um dessen Kommunikation auszuspionieren. Darüber, wer damit angegriffen wurde und was dabei passiert ist, lässt sich Arkin nicht aus. Der betriebene Aufwand deutet aber auf ein prominentes oder zumindest lukratives Ziel.
Auch wie der Einbruch bei Adobe erfolgte, lässt Arkin offen. Klar ist, dass ein interner Build-Server kompromittiert wurde, der Code-Signing-Requests erstellen konnte. Dieser Server und die komplette Code-Signing-Infrastruktur wurde mittlerweile stillgelegt. Arkin beteuert, dass der geheime Schlüssel des für die Unterschrift missbrauchten Zertifikats nicht entwendet wurde, da er sicher in einem Hardware Security Module verstaut sei, das nicht kompromittiert wurde. Auch andere Informationen oder Sourcecode seien allem Anschein nach nicht abhanden gekommen.
Als Reaktion will Adobe das verwendete Zertifikat am nächsten Donnerstag, den 4. Oktober für Software widerrufen, die nach dem 10. Juli 2012 signiert wurde. Das betrifft die Windows-Plattform und drei Adobe AIR Applikationen, die es für Windows und Mac gibt (Adobe Muse, Adobe Story AIR Applications und Acrobat.com Desktop Services). Konkretere Informationen welche Software betroffen ist, stellt der Hersteller auf einer speziellen Support-Seite bereit. Angeblich soll die Zertifikats-Sperrung die große Mehrheit der Kunden nicht beeinträchtigen, versichert Adobe.
Von einem händischen Eintrag des betroffenen Zertifikats (ausgestellt auf "Adobe Systems Incorporated", Seriennummer: 15 e5 ac 0a 48 70 63 71 8e 39 da 52 30 1a 04 88) in die Liste der vertrauensunwürdigen Zertifikate rät Arkin explizit ab. Es stoppe den Angriff nicht, beeinträchtige aber das "Bedienerlebnis" der Anwender von Adobe Software. (ju)
