La revocación por Adobe de un certificado digital, el cual había sido utilizado por los atacantes para firmar varias utilidades malintencionadas despertó preocupaciones en la comunidad de seguridad sobre los ataques de malware generalizado mediante estas utilidades. La preocupación clave fue que la mayoría de los sistemas antimalware implícitamente confiarian en archivos firmados digitalmente y así los escanerian sin marcarlos como maliciosos. Sin embargo, los investigadores de seguridad dicen que las utilidades, mientras sigan circulando, podrian comenzar a utilizarse en ataques a gran escala.

La semana pasada Adobe anuncio que planeaba revocar el certificado, diciendo que los atacantes habían podido comprometer un equipo en red de la empresa y, a continuación, obtener acceso a un servidor de compilación. Los atacantes entonces hicieron la petición del certificado de Adobe, que recibieron para tres piezas separadas de malware. Adobe realmente había revocado el certificado el jueves, y los investigadores de Microsoft tomaron un vistazo a la utilización de las tres muestras de malware firmadas para ver cómo se empezaban a utilizar.

Las tres utilidades malintencionadas a mirar son PwDump7.exe, libeay.dll y myGeeksmail.dll.

Tanmay Ganacharya de Microsoft dijo en un blog el pasado 3 de Octubre lo siguiente: “Adobe ha revocado hoy el certificado para todo código de software firmados después del 10 de julio del 2012 y están también en proceso de emitir actualizaciones firmadas utilizando un nuevo certificado digital para todos los productos afectados”.

“Nosotros hemos estado siguiendo este asunto muy de cerca y la telemetría muestra que esta cuestión no es frecuente y está siendo utilizada sólo en ataques altamente selectivos. Continuaremos controlando el nuevo malware que se aproveche de este problema”.

Funcionarios de seguridad de Adobe, dijeron al mismo tiempo que anunciaron que con la utilizacion del certificado comprometido no creen que la mayoría de usuarios estaban en riesgo de ataques relacionados con las utilidades malintencionadas.

“Creemos que los actores de esta amenaza establecieron un punto de apoyo en una máquina diferente de Adobe y luego aprovecharon tácticas estándar de amenazas persistente avanzadas para acceder a las firmas del servidor y solicitud de construirlas para las utilidades maliciosas vía el servicio de firmado de codigos usando un protocolo estándar utilizado para validar el codigo del software de Adobe “, dijo Brad Arkin, un alto oficial de privacidad y seguridad de la empresa. Agregando que: “Creemos que la gran mayoría de los usuarios no están en riesgo”.

La mayoría de los principales antimalware tienen ahora firmas para las utilidades maliciosas y son capaces de identificarlas, por lo que el riesgo de compromiso es significativamente menor de lo que era antes de que Adobe anunciara el ataque. La empresa entregó a las empresas de seguridad información anticipada sobre las utilidades maliciosas antes del anuncio para asegurar que los usuarios estuvieran protegidos antes de que la información se hiciera pública.

Traducción: Velcro

Fuente:threatpost.com