El incidente parece que tuvo lugar al quedar comprometido un servidor de compilación a finales de Julio, en el que se encontraba el certificado digital para firmar el código. Dicho certificado fue utilizado para firmar la popular herramienta PwDump7 - junto con la librería libeay32.dll de OpenSSL - que se utiliza para volcar las contraseñas de sistemas Microsoft Windows desde el LSA, y myGeeksmail.dll que es un filtro ISAPI que puede instalarse en servidores web para interceptar y manipular las conexiones HTTP lo que permitiría a un atacante acceder a toda la información que por ese servidor web pase y modificarla a gusto.
Los detalles y hashes MD5 de los ficheros firmados han sido publicados en un Security Advisory desde Adobe APSA 12-01 y son los siguientes:
PwDump7.exe
MD5 hash: 130F7543D2360C40F8703D3898AFAC22
Tamaño: 81.6 KB (83,648 bytes)
Signature timestamp: Thursday, July 26, 2012 8:44:40 PM PDT (GMT -7:00)
MD5 hash del fichero sin firma: D1337B9E8BAC0EE285492B89F895CADB
libeay32.dll
MD5 hash: 095AB1CCC827BE2F38620256A620F7A4
Tamaño: 999 KB (1,023,168 bytes)
Signature timestamp: Thursday, July 26, 2012 8:44:13 PM PDT (GMT -7:00)
MD5 hash del fichero sin firma: A7EFD09E5B963AF88CE2FC5B8EB7127C
myGeeksmail.dllSegún cuentan, a Adobe llego una copia de estos ficheros el 12 de Septiembre desde una fuente anónima, y desde entonces han trabajado en firmar el software con otros certificados digitales y poner actualizaciones de sus programas afectados disponibles, además de informar al Microsoft Active Protection Program y fabricantes de soluciones de seguridad para que detecten estos ficheros como maliciosos.
MD5 hash: 46DB73375F05F09AC78EC3D940F3E61A
Tamaño: 80.6 KB (82,624 bytes)
Signature timestamp: Wednesday, July 25, 2012 8:48:59 PM (GMT -7:00)
MD5 hash del fichero sin firma: 8EA2420013090077EA875B97D7D1FF07
Fuente: El Lado del Mal
Por que sera que viniendo de Adobe no me sorprende la noticia...
ResponderBorrar