Clear
Lead Graphic Papers

Adobe ปล่อย CRL ยกเลิก Certificate ที่ถูกใช้ Sign มัลแวร์

วันที่ประกาศ: 5 ตุลาคม 2555
ปรับปรุงล่าสุด: 5 ตุลาคม 2555
เรื่อง: Adobe ปล่อย CRL ยกเลิก Certificate ที่ถูกใช้ Sign มัลแวร์

ประเภทภัยคุกคาม: Malicious Code

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

เมื่อวันที่ 27 กันยายน 2555 Adobe ได้ประกาศแจ้งเตือนใน Blog ของบริษัทว่าได้ค้นพบมัลแวร์ที่ถูก Sign โดยใช้ Digital Certificate ของ Adobe จากการตรวจสอบพบว่ามัลแวร์ดังกล่าวนี้ถูก Sign โดยเซิร์ฟเวอร์ที่ใช้สำหรับ Sign โค้ดของโปรแกรม ซึ่งถูกผู้ไม่หวังดีเข้าไปควบคุม (Compromised) [1]

ผลกระทบ

Microsoft ได้ตรวจสอบมัลแวร์ที่ถูก Sign โดยใช้ Certificate ของ Adobe โดยระบุชื่อของมัลแวร์ดังกล่าวนี้ว่า Win32/Adbposer พร้อมให้ข้อมูลเพิ่มเติมว่า จุดประสงค์หลักของผู้สร้างมัลแวร์ดังกล่าวนี้คือการหลบเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัส เนื่องจากโปรแกรมป้องกันไวรัสโดยส่วนใหญ่จะถูกออกแบบมาเพื่อให้ละเว้นการตรวจสอบโปรแกรมที่ถูก Sign โดยใช้ Certificate ของผู้พัฒนาที่เชื่อถือได้ (Trusted) เช่น Certificate ของ Adobe

ข้อมูลของมัลแวร์ที่พบ มีดังนี้ [2]

PwDump7.exe

SHA1: c615a284e5f3f41cf829bbb939f2503b39349c8d
Signature timestamp: Thursday, July 26, 2012 8:44:40 PM PDT (GMT -7:00)
Detected as PWS:Win32/Adbposer.A

libeay.dll
SHA1: 934543f9ecc28ebefbd202c8e98833c36831ea75
Signature timestamp: Thursday, July 26, 2012 8:44:13 PM PDT (GMT -7:00)
Detected as PWS:Win32/Adbposer.A.dll

myGeeksmail.dll

SHA1: fecb579abfbc74f7ded61169214349d203a34378
Signature timestamp: Wednesday, July 25, 2012 8:48:59 PM (GMT -7:00)
Detected as Trojan:Win32/Adbposer.B

ผู้ใช้งานมีโอกาสเสี่ยงที่จะถูกโจมตีจากมัลแวร์ที่ถูก Sign โดยใช้ Certificate ดังกล่าว เนื่องจากโปรแกรมโปรแกรมป้องกันไวรัสจะไม่ตรวจสอบโปรแกรมดังกล่าวเพราะเชื่อถือว่าไม่ใช่โปรแกรมที่เป็นอันตราย

ระบบที่ได้รับผลกระทบ

ระบบปฏิบัติการ Windows

ข้อแนะนำในการป้องกันและแก้ไข

เมื่อวันที่ 4 ตุลาคม 2555 Adobe ได้ปล่อย Certificate Revocation List เพื่อเพิกถอน (Revoke) Certificate ของซอฟต์แวร์ที่ถูก Sign หลังจากวันที่ 10 กรกฎาคม 2555 (00:00 GMT) [3] โดยผู้ใช้สามารถดาวน์โหลด CRL ดังกล่าวได้จาก http://csc3-2010-crl.verisign.com/CSC3-2010.crl

ข้อมูลของ Certificate ดังกล่าวมีดังนี้

  • sha1RSA certificate
  • Issued to Adobe Systems Incorporated
  • Issued by VeriSign Class 3 Code Signing 2010 CA
  • Serial Number: 15 e5 ac 0a 48 70 63 71 8e 39 da 52 30 1a 04 88
  • sha1 Thumbprint: fd f0 1d d3 f3 7c 66 ac 4c 77 9d 92 62 3c 77 81 4a 07 fe 4c
  • Valid from December 14, 2010 5:00 PM PST (GMT -8:00) to December 14, 2012 4:59:59 PM PST (GMT -8:00)
การติดตั้ง CRL เข้าไปในระบบ ทำได้โดยการคลิกขวาที่ไฟล์ CSC3-2010.crl แล้วเลือก Install CRL ดังรูปที่ 1

Al2012co0021.jpg
รูปที่ 1 การติดตั้ง CRL

อย่างไรก็ตาม หลังจากการติดตั้ง Certificate ดังกล่าวนี้ ระบบปฏิบัติการจะแจ้งว่าโปรแกรมของ Adobe ที่ถูก Sign โดยใช้ Certificate ดังกล่าวเป็นโปรแกรมที่ไม่น่าเชื่อถือ แต่ยังสามารถติดตั้งและใช้งานได้ตามปกติ ซึ่งทาง Adobe จะปล่อยอัพเดตของโปรแกรมดังกล่าวที่ถูก Sign โดยใช้ Certificate ใหม่ออกมาในภายหลัง

อ้างอิง

  1. http://blogs.adobe.com/asset/2012/09/inappropriate-use-of-adobe-code-signing-certificate.html
  2. http://blogs.technet.com/b/mmpc/archive/2012/10/03/malware-signed-with-the-adobe-code-signing-certificate.aspx
  3. http://www.adobe.com/support/security/advisories/apsa12-01.html

Clear