En un aviso urgente enviado ayer por la tarde por Adobe, la empresa anunció que habían descubierto la existencia de dos herramientas con fines maliciosos que habían sido firmadas digitalmente con un certificado válido de Adobe. Tan pronto como se descubrió este hecho, se lanzó una investigación para descubrir a continuación que uno de los servidores de desarrollo con acceso a la infraestructura de firma de código de Adobe fue comprometido, permitiendo a los atacantes robar el certificado.
Desde Adobe nos indican que han empezado a planificar la revocación del certificado comprometido y la publicación de actualizaciones para el software de Adobe que usa el certificado comprometido. Esto afectaría únicamente al software de Adobe que funciona con ese certificado en sistemas Windows y a tres aplicaciones Adobe AIR que funcionan tanto en Windows como en Mac.
El motivo del robo de este certificado es claro: usarlo en ataques dirigidos para evadir las medidas de protección que incluyen los sistemas operativos actuales, donde un ejecutable sin firmar debería hacer saltar las alarmas si el sistema está correctamente configurado en materia de seguridad.
De momento se han identificado dos herramientas maliciosas firmadas con este certificado robado. La primera de ellas es pwdump7 v7.1, usada principalmente para extraer hashes de contraseñas en sistemas operativos Windows y que, en ocasiones, también es usada como un archivo único que enlaza con la librería libeay32.dll de OpenSSL. Esta muestra contenía dos archivos separados firmados individualmente.
Con respecto a la segunda herramienta maliciosa descubierta, myGeeksmail.dll, se trata de un filtro malicioso ISAPI (ficheros dll que pueden ser usados para modificar y mejorar la funcionalidad proporcionada por Internet Information Server de Microsoft).
Mientras se prepara la revocación del certificado comprometido, prevista para el próximo jueves 4 de octubre, Adobe recomienda a los administradores de sistemas que gestionen estaciones de trabajo Windows que generen una política de restricción de software (SRP usando las políticas de grupos) que desactive la ejecución de las herramientas maliciosas y las bloquee basándose en el hash de los archivos dañinos.
Desde el laboratorio de ESET en Ontinet.com recomendamos ir con cuidado con los archivos firmados por Adobe que ejecutemos en nuestro sistema, especialmente si el ejecutable ha sido firmado después del 10 de julio de 2012. Aplicar las políticas de restricción de software que recomienda Adobe puede evitar también muchos quebraderos de cabeza a los administradores de sistemas en las empresas.
Josep Albors