DD丨WWW.CDAFJK.COM丨成都安防监控丨Adobe攻击分析:解决Adobe安全证书问题从理论上来看,用于保护计算系统的加密技术和算法是强大的,但是,即使是最强大的加密技术也无法避免部署问题和软磨硬泡攻击。即使你投入大量时间来保护公钥基础设施,仅一个漏洞就可以破坏整个基础设施。特别是面对这种情况:攻击者可以使用Adobe的证书对恶意软件签名,从而将恶意代码伪装成合法Adobe软件更新。在DD丨WWW.CDAFJK.COM丨成都安防监控丨本文中,我们将对这种Adobe攻击进行分析以了解Adobe证书带来的安全问题,并探讨企业应该采取哪些措施来保护自己。Adobe攻击分析对Adobe的攻击是使用恶意签名软件的几种攻击之一。Stuxnet和Flame都是利用偷来的或有效证书来签名恶意软件以逃避潜在的windows防御。基于Adobe的安全证书问题,攻击者能够使用Adobe的数字代码签名来对恶DD丨WWW.CDAFJK.COM丨成都安防监控丨意软件签名,使该恶意软件看起来像是合法的Adobe软件。根据Adobe安全主管BradArkin表示,Adobe已经撤销了有问题的证书,但这样做并没有解决这种攻击中所利用的所有安全漏洞。Adobe使用硬件安全模块来更好地保护用于软件签名的证书。HSM可以提供高水平的安全性来保护私钥,为某些类型的加密提供更高的性能,但HSM部署带来安全挑战,特别是在私钥的访问方式方面。它们通常提供几种不同的DD丨WWW.CDAFJK.COM丨成都安防监控丨方法来控制对私钥的访问,包括密码保护、双因素身份验证以及分割密钥身份验证。然而,从部署和安全方面来看,每种方法都有优点和缺点。例如,为了自动化某些加密操作,例如签名,一些HSM允许这些功能在不使用密码的情况下执行,这种设置需要其他补偿性控制来防止对HSM的访问。Adobe很有可能在其软件构建过程使用了这种免密码方式来签名文件,从而使攻击者能使用Adobe证书来签名恶意软件。DD丨WWW.CDAFJK.COM丨成都安防监控丨企业应该如何应对恶意Adobe签名软件笔者在Flame恶意软件攻击中建议使用的保护措施同样可以用于抵御恶意Adobe签名软件。企业可以使用反恶意软件来阻止这种恶意更新,并将Windows配置为只执行签名软件,或者使用白名单来帮助阻止攻击。此外,维持基本的保护以及保持软件更新将有助于减少全面攻击的可能。企业可以对下载的文件进行恶意软件扫描,同时,企业也可以检查是否存在使用吊销证书签名的软件。对于下DD丨WWW.CDAFJK.COM丨成都安防监控丨载的签名软件也应该执行这种吊销证书检查,但这可能不是所有补丁管理软件的默认配置。企业还可以检查签名软件上从官方渠道接收的哈希值,但狡猾的攻击者可能也会伪造这些值。最可能受Adobe问题安全证书影响的是自动安装更新的用户,由于这些恶意更新伪装成合法更新,因此它们可能被自动安装在不知情的系统上。这可能会逃避所有允许Adobe更新的白名单保护。与恶意Adobe签名更新相比,DD丨WWW.CDAFJK.COM丨成都安防监控丨老版本的AdobeReader存在更大的风险,因为Reader的安全性经常受到破坏,而通过Adobe更新过程部署恶意软件是不可能的。其他软件制造商可能不会像Adobe一样使用HSM来加强保护,因为这样太贵,但他们的基础设施都很容易受到攻击。结论简而言之,虽然PKI很复杂且难以正确部署,但对最终用户而言,它必须是简单的,并且它对计算生态系统的DD丨WWW.CDAFJK.COM丨成都安防监控丨安全性是至关重要的。鉴于这些竞争要求,企业应该预想到PKI会受到破坏,他们必须准备一个应急预案计划来尽量减小对企业、其客户和用户的影响。Adobe通过其软件安全开发生命周期已经取得了显著的进步,并通过HSM采取了合理的安全预防措施,但是,这一攻击事件表明,如果攻击者获取了对基础设施的特权访问,这种访问可以被用来破坏系统。從理論上來看,用於保護計算系統的加密技術和算DD丨WWW.CDAFJK.COM丨成都安防监控丨法是強大的,但是,即使是最強大的加密技術也無法避免部署問題和軟磨硬泡攻擊。即使你投入大量時間來保護公鑰基礎設施,僅一個漏洞就可以破壞整個基礎設施。特別是面對這種情況:攻擊者可以使用Adobe的證書對惡意軟件簽名,從而將惡意代碼偽裝成合法Adobe軟件更新。在本文中,我們將對這種Adobe攻擊進行分析以瞭解Adobe證書帶來的安全問題,並探討企業應該采取哪些措施來保護自己。DD丨WWW.CDAFJK.COM丨成都安防监控丨Adobe攻擊分析對Adobe的攻擊是使用惡意簽名軟件的幾種攻擊之一。Stuxnet和Flame都是利用偷來的或有效證書來簽名惡意軟件以逃避潛在的windows防禦。基於Adobe的安全證書問題,攻擊者能夠使用Adobe的數字代碼簽名來對惡意軟件簽名,使該惡意軟件看起來像是合法的Adobe軟件。根據Adobe安全主管BradArkin表示,Adobe已經撤銷瞭有問題的證書,但這樣做並沒有解決這種攻擊中所利用的DD丨WWW.CDAFJK.COM丨成都安防监控丨所有安全漏洞。Adobe使用硬件安全模塊來更好地保護用於軟件簽名的證書。HSM可以提供高水平的安全性來保護私鑰,為某些類型的加密提供更高的性能,但HSM部署帶來安全挑戰,特別是在私鑰的訪問方式方面。它們通常提供幾種不同的方法來控制對私鑰的訪問,包括密碼保護、雙因素身份驗證以及分割密鑰身份驗證。然而,從部署和安全方面來看,每種方法都有優點和缺點。例如,為瞭自動化某些加密操DD丨WWW.CDAFJK.COM丨成都安防监控丨作,例如簽名,一些HSM允許這些功能在不使用密碼的情況下執行,這種設置需要其他補償性控制來防止對HSM的訪問。Adobe很有可能在其軟件構建過程使用瞭這種免密碼方式來簽名文件,從而使攻擊者能使用Adobe證書來簽名惡意軟件。企業應該如何應對惡意Adobe簽名軟件筆者在Flame惡意軟件攻擊中建議使用的保護措施同樣可以用於抵禦惡意Adobe簽名軟件。企業可以使用反惡DD丨WWW.CDAFJK.COM丨成都安防监控丨意軟件來阻止這種惡意更新,並將Windows配置為隻執行簽名軟件,或者使用白名單來幫助阻止攻擊。此外,維持基本的保護以及保持軟件更新將有助於減少全面攻擊的可能。企業可以對下載的文件進行惡意軟件掃描,同時,企業也可以檢查是否存在使用吊銷證書簽名的軟件。對於下載的簽名軟件也應該執行這種吊銷證書檢查,但這可能不是所有補丁管理軟件的默認配置。企業還可以檢查簽名軟件上從官方渠道接收的哈希值,但狡猾的攻擊者可能也會DD丨WWW.CDAFJK.COM丨成都安防监控丨偽造這些值。最可能受Adobe問題安全證書影響的是自動安裝更新的用戶,由於這些惡意更新偽裝成合法更新,因此它們可能被自動安裝在不知情的系統上。這可能會逃避所有允許Adobe更新的白名單保護。與惡意Adobe簽名更新相比,老版本的AdobeReader存在更大的風險,因為Reader的安全性經常受到破壞,而通過Adobe更新過程部署惡意軟件是不可能的。其他軟件制造商可能不會像Adobe一樣使用DD丨WWW.CDAFJK.COM丨成都安防监控丨HSM來加強保護,因為這樣太貴,但他們的基礎設施都很容易受到攻擊。結論簡而言之,雖然PKI很復雜且難以正確部署,但對最終用戶而言,它必須是簡單的,並且它對計算生態系統的安全性是至關重要的。鑒於這些競爭要求,企業應該預想到PKI會受到破壞,他們必須準備一個應急預案計劃來盡量減小對企業、其客戶和用戶的影響。Adobe通過其軟件DD丨WWW.CDAFJK.COM丨成都安防监控丨安全開發生命周期已經取得瞭顯著的進步,並通過HSM采取瞭合理的安全預防措施,但是,這一攻擊事件表明,如果攻擊者獲取瞭對基礎設施的特權訪問,這種訪問可以被用來破壞系統。