Certificato digitale Adobe usato da due malware

Adobe ha comunicato che il prossimo 4 ottobre revocherà un certificato digitale utilizzato da alcuni software per Windows e da tre applicazioni Adobe AIR per Windows e Mac. L’azienda ha scoperto due malware firmati con il certificato sha1RSA rubato a luglio dagli hacker che sono riusciti ad accedere ai server dell’infrastruttura di certificazione. La revoca riguarderà il codice firmato dopo il 10 luglio 2012 e pertanto l’azienda consiglia di aggiornare i software indicati in una pagina dedicata.

Brad Arkin, senior director della sicurezza, ha chiarito che gli utenti non noteranno nessuna variazione durante l’esecuzione dei programmi, quando il certificato verrà revocato. Inoltre l’indagine in corso non ha rilevato pericoli per la privacy, quindi le informazioni sensibili non sono state compromesse. Adobe ha individuato due malware che utilizzano il certificato per mascherarsi come software legittimo. Ciò significa che la loro eventuale installazione potrebbe permettere ai malintenzionati di elevare i privilegi di accesso e prendere il controllo del computer. I due file, provenienti da una singola fonte, sono pwdump7 v7.1 e myGeeksmail.dll. Come si deduce chiaramente dal nome, pwdump7 estrae le password hash dai sistemi operativi Windows e genera un link statico alla libreria OpenSSL libeay.dll. Il secondo file myGeeksmail.dll è invece un falso filtro ISAPI. A differenza della prima utility non è stata rilevata una sua diffusione pubblica.

Adobe non ha fornito dettagli sulla natura della violazione, ma solo che il problema ha riguardato un server usato per lo sviluppo del software. Dopo la scoperta del malware, l’infrastruttura di firma del codice (alla quale il “build server” era collegato) è stata disattivata e tutti i file sono stati firmati manualmente. L’azienda ha rilasciato nuovi certificati digitali per i suoi software che sostituiranno il certificato non più valido dal 4 ottobre.