Un certificat d’Adobe utilisé pour signer des malwares

Hinault Romaric · 28/09/2012, 17h13

Un certificat d’Adobe utilisé pour signer des malwares
par des pirates depuis un serveur compromis de la société, le certificat sera révoqué

Adobe va révoquer un certificat de signature de code après avoir découvert que celui-ci avait été utilisé pour signer numériquement des applications malveillantes.

Cette action serait la conséquence d’un accès à l’un des serveurs internes de la société par des pirates qui ont utilisé un certificat de signature de code valide pour signer des utilitaires malveillants, afin de les faire passer pour des solutions Adobe légitimes aux yeux des antivirus.

Pour l’instant, Adobe dit n’avoir trouvé que deux logiciels malveillants qui utilisent cette signature de code. L’un serait une copie de l’utilitaire Pwdump7 v.7.1, permettant l’extraction des mots de passe sous Windows et l’autre serait un filtre ISAPI du nom de myGeeksmail.dll, qui peut être installé sur les serveurs Web IIS et Apache pour intercepter et modifier les requêtes HTTP.

Adobe note cependant que les risques seraient limités, car les échantillons de code ont été partagés à partir du programme Microsoft Active Protection (MAPP) afin que les fournisseurs de solutions d’antivirus soient capables de les détecter.

Le certificat numérique incriminé sera révoqué le 4 octobre pour laisser le temps aux administrateurs de préparer leurs systèmes. Le certificat concerne les applications dont le code a été signé après le 10 juillet 2012.

Cette révocation va affecter les applications Windows et trois autres outils Adobe AIR qui fonctionnent à la fois sur les systèmes d’exploitation Windows et Macintosh, et ne touchera pas la majorité des clients sous Windows, selon l’éditeur.

Adobe invite les utilisateurs à consulter son site de support pour vérifier si les produits qu’ils utilisent sont concernés et à télécharger les mises à jour signées avec un nouveau certificat valide.

Pour l’instant, il est encore difficile d’évaluer les conséquences et encore moins facile de savoir si un autre utilitaire malveillant n’utilise pas ce certificat.

Source : Adobe

28/09/2012, 17h13	#1
Hinault Romaric Responsable Actualités Hinault Romaric Consultant Inscription : janvier 2007 Messages : 2 827 Détails du profil Informations personnelles : Nom : Hinault Romaric Localisation : Cameroun Informations professionnelles : Activité : Consultant Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : janvier 2007 Messages : 2 827 Points : 37 367 Points : 37 367	Un certificat d’Adobe utilisé pour signer des malwares Un certificat d’Adobe utilisé pour signer des malwares par des pirates depuis un serveur compromis de la société, le certificat sera révoqué Adobe va révoquer un certificat de signature de code après avoir découvert que celui-ci avait été utilisé pour signer numériquement des applications malveillantes. Cette action serait la conséquence d’un accès à l’un des serveurs internes de la société par des pirates qui ont utilisé un certificat de signature de code valide pour signer des utilitaires malveillants, afin de les faire passer pour des solutions Adobe légitimes aux yeux des antivirus. Pour l’instant, Adobe dit n’avoir trouvé que deux logiciels malveillants qui utilisent cette signature de code. L’un serait une copie de l’utilitaire Pwdump7 v.7.1, permettant l’extraction des mots de passe sous Windows et l’autre serait un filtre ISAPI du nom de myGeeksmail.dll, qui peut être installé sur les serveurs Web IIS et Apache pour intercepter et modifier les requêtes HTTP. Adobe note cependant que les risques seraient limités, car les échantillons de code ont été partagés à partir du programme Microsoft Active Protection (MAPP) afin que les fournisseurs de solutions d’antivirus soient capables de les détecter. Le certificat numérique incriminé sera révoqué le 4 octobre pour laisser le temps aux administrateurs de préparer leurs systèmes. Le certificat concerne les applications dont le code a été signé après le 10 juillet 2012. Cette révocation va affecter les applications Windows et trois autres outils Adobe AIR qui fonctionnent à la fois sur les systèmes d’exploitation Windows et Macintosh, et ne touchera pas la majorité des clients sous Windows, selon l’éditeur. Adobe invite les utilisateurs à consulter son site de support pour vérifier si les produits qu’ils utilisent sont concernés et à télécharger les mises à jour signées avec un nouveau certificat valide. Pour l’instant, il est encore difficile d’évaluer les conséquences et encore moins facile de savoir si un autre utilitaire malveillant n’utilise pas ce certificat. Source : Adobe __________________ Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire Mon blog Mes articles En posant correctement votre problème, on trouve la moitié de la solution
	30

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email