Makers van malware hebben ingebroken op een buildserver van Adobe, om hun malware met een geldig Adobe-certificaat te ondertekenen. Dat heeft het bedrijf bekendgemaakt. Adobe brengt binnenkort nieuwe certificaten uit.
Voor zover bekend zijn twee malware-tools ondertekend met het Adobe-certificaat, schrijft een beveiligingsmedewerker van Adobe in een blog. Door software te ondertekenen met een geldig certificaat van betrouwbare afkomst, zoals Adobe, slaat beveiligingssoftware veel minder snel alarm.
De malware-auteurs bleken hun software te hebben ondertekend door in te breken op een buildserver van Adobe, die het bedrijf gebruikt om sourcecode om te zetten in executables en die ook direct de software ondertekent. Dat betekent ook dat de aanvallers toegang hadden tot de op de buildserver gehoste broncode. Volgens Adobe gaat het om één product waarvan de broncode toegankelijk was, maar om welk product het gaat, is onduidelijk. Alle commits op de broncode zijn nagetrokken om te verifiëren dat de aanvallers geen eigen code hebben toegevoegd.
Adobe gaat alle software die na 10 juli 2012 is ondertekend, een nieuw certificaat geven. Dat wijst erop dat de aanval mogelijk al in juli plaatsvond. Duidelijk is bovendien dat na 10 juli met het getroffen certificaat veel software is ondertekend, waaronder de Windows-versies van Photoshop CS6, Flash Player, Dreamweaver CS6, Premiere CS6 en Flash Professional CS6. Ook een drietal Air-applicaties, die ook op Mac OS X werken, is ondertekend met het getroffen certificaat. Het certificaat zelf is niet gestolen, benadrukt Adobe.
Omdat zo veel software is ondertekend met dit certificaat, is het niet zomaar mogelijk om het certificaat in te trekken. Dat gebeurt pas op 4 oktober, nadat alle software een update heeft gehad met een nieuw certificaat. Volgens Adobe is er geen reden om aan te nemen dat de gemiddelde internetter last kan ondervinden van de malware die is ondertekend met zijn certificaat; die zou waarschijnlijk vooral zijn bedoeld voor gerichte aanvallen. Of dat daadwerkelijk is gebeurd, is nog niet bekend.
De aanval op de certificaatserver is geen goed nieuws voor Adobe, dat de laatste jaren vaak in het nieuws kwam met kwetsbaarheden in zijn Flash Player- en Acrobat-software, die werden gebruikt om internetters aan te vallen.