Sicherheitszertifikat von Adobe gehackt

Ein Clou ganz besonderer Art ist jetzt Hackern gelungen, die bei Adobe eingebrochen sind. Mit ihrer Beute können sie jetzt eine Malware für Viren-Filter und Betriebssystem so aussehen lassen, als wäre es eine ganz normale Software von Adobe.

Unbekannte konnten sich laut Angaben von Adobe ein Sicherheitszertifikat ergaunern, das zur Codesignierung verwendet wird. Damit ist es möglich, Malware als legitime Software von Adobe auszugeben.

“Adobe untersucht derzeit die offenbar unsachgemäße Nutzung eines Codesignierungs-Zertifikats für Windows”, schreibt Brad Arkin, Senior Director des Bereichs Sicherheit bei Adobe, in einem Blogeintrag. “Wir haben vor, das betroffene Zertifikat für jegliche Software, die nach dem 10. Juli signiert wurde, am 4. Oktober für nichtig zu erklären.”

Bisher lägen keine Anhaltspunkte für einen breiten Missbrauch des Zertifikats vor, so Arkin weiter. Adobe habe lediglich zwei schädliche Tools entdeckt, die mit dem Zertifikat signiert worden seien. “Es gibt zurzeit keine Beweise dafür, dass vertrauliche Daten – etwa Quellcode von Adobe oder Daten von Kunden oder Angestellten – kompromittiert wurden.”

Adobe-Sprecherin Wiebke Lips teilte mit, jemand sei in einen sogenannten “Build”-Server eingebrochen, der für die Entwicklung von Adobe-Software verwendet werde. Von dort aus sei eine Anfrage an einen für die Code-Signierung zuständigen Server geschickt worden. Das Zertifikat authentifiziere die Malware zwar als legitime Adobe-Software, die Angreifer hätten aber nicht versucht, ihre Schadsoftware als ein Adobe-Programm auszugeben.

Lips zufolge wird das Zertifikat erst in der kommenden Woche für ungültig erklärt, um Administratoren Zeit zu geben, ihre Systeme darauf vorzubereiten. Arkin ergänzte, Adobe habe Muster der Malware über das Microsoft Active Protection Program an Sicherheitsanbieter weitergeleitet, damit diese die beiden schädlichen Werkzeuge blockieren könnten.

Die erste Malware ist ein Tool namens “pwdump7 v7.1″, das Hashwerte von Windows-Passwörtern extrahieren kann. Das andere, “myGeeksmail.dll”, ist laut Adobe ein Internet Server Application Programming Interface (ISAPI). Weitere technische Details liefert eineSicherheitsmeldung von Adobe.

Die Stornierung des Zertifikats betrifft Windows-Systeme, Adobe-Muse- und Adobe-Story-AIR-Anwendungen sowie die Desktop-Dienste von Acrobat.com für Windows und Mac OS X. Für legitime Adobe-Software bestehe keine Gefahr, so Arkin. Nur eine kleine Zahl von Kunden müsse Maßnahmen ergreifen. “Um herauszufinden, ob Sie oder Ihre Organisation betroffen sind, besuchen Sie bitte die Support-Seite auf Adobe.com.”

Von dem Einbruch wisse Adobe seit 12. September, schreibt Arkin in einem Tweet. Die fraglichen Dateien seien am 25. und 26. Juli mit dem gestohlenen Zertifikat signiert worden. Man arbeite mit Sicherheitsfirmen an der Entwicklung von Tools, um missbräuchlich signierte Software erkennen und blockieren zu können. Darüber hinaus werde Adobe seine Anwendungen mit einem neuen Zertifikat erneut signieren, um Störungen bei vorhandenen Installationen und neuen Downloads zu verhindern.

[mit Material von Stefan Beiersmann, News.com]