Compromesso un certificato di Adobe

Adobe ha annunciato che uno dei suo certificati utilizzati per firmare i programmi per Windows è stato compromesso.

Il problema riguarda tutti i programmi Adobe per la piattaforma Windows e tre applicazioni Adobe Air che girano sia su Windows sia su Macintosh: Adobe Muse, Adobe Story AIR e Acrobat.com desktop services.

Secondo il rapporto preliminare pubblicato da Adobe, uno dei server utilizzati per la compilazione dei programmi sarebbe stato infettato da malware che ha permesso a terzi di prendere il controllo del server. Gli attaccanti sono riusciti a compilare del software realizzato da loro e ad utilizzare i protocolli interni di Adobe per firmare digitalmente il software fraudolento. Non ci sarebbe stato un accesso diretto degli attaccanti alle chiavi private dei certificati.

Uno dei programmi firmati con il certificato di Adobe è pwdump7 v7.1, ma F-Secure ha 5127 campioni di programmi firmati con il certificato compromesso di Adobe.

Il certificato compromesso verrà revocato il 4 ottobre 2012 alle 13:15 PDT (20:15 GMT). Spostare questo certificato nel gruppo dei certificati non fidati non mitiga il problema.

Adobe sta firmando di nuovo tutti i programmi e li sta ridistribuendo: è, quindi, particolarmente importante aggiornare i programmi di Adobe quando appare l’avviso che è disponibile un aggiornamento.

Si potrebbe approfittare di questa occasione per sostituire Adobe Reader con un altro lettore di PDF.

Adobe ha approntato una pagina di supporto per chiarire i dettagli di questo incidente.

Aggiornamento 1/10/2012: Per trovare i file firmati con il certificato compromesso, utilizzare un programma che possa cercare stringhe esadecimali e cercare “15e5ac0a487063718e39da52301a0488” (via Mikko Hypponen)

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

2 pensieri riguardo “Compromesso un certificato di Adobe”

  1. Assurdo.

    Assurdo che un server di un certo livello si possa infettare. Ok magari è stato un attacco mirato, ma vuol dire che non hanno prestato molta attenzione alla sicurezza.

    Assurdo che il certificato compromesso NON venga revocato subito… forse ci saranno delle motivazioni che non conosco.

    Purtroppo a volte, l’uso di lettori PDF alternativi, complica di molto le cose.
    Personalmente ho avuto problemi con siti web che dopo aver compilato un “questionario” poi non riusciva a creare il .PDF anche se Adobe era presente, ma non predefinito.

    Altri casi analoghi con alcuni programmi usati da Commercialisti, dove a volte è un dramma anche cambiare versione :-\

  2. Hanno trapanato RSA attraverso una mail con un attachemnt infetto, non e’ assurdo che abbiano colpito anche Adobe.
    Il motivo per cui non viene revocato subito e’ spiegato nel post del blog linkato: se lo revocassero subito non sarebbe possibile installare i programmi Adobe che sono in giro (uno potrebbe fare una battuta su questo…).
    Bisogna tenere presente che questo e’ un certificato di firma del software, non un certificato https.

Spazio per un commento