Cybercriminálové používají digitálně podepsané Java exploity, aby zneužili uživatele

Výzkumní pracovníci v oblasti bezpečnosti upozorňují, že kyberzločinci začali využívat Java exploze podepsané s digitálními certifikáty, aby zneužili uživatele, aby umožnili spuštění škodlivého kódu uvnitř prohlížečů. webovou stránku společnosti Chemnitz University of Technology v Německu, která byla nakažena nástrojem pro využívání webových stránek s názvem g01pack, řekl bezpečnostní výzkumník Eric Romang v blogu.

"Je to určitě go01 pack", říká Jindřich Kubec, antivirový dodavatel Avast, řekl e-mailem. První ukázka tohoto podepsaného Java exploitu byla zjištěna 28. února.

[Další informace: Jak odstranit malware z vašeho počítače se systémem Windows]

Nebylo jasné, zda je tato zneužití zaměřena na novou zranitelnost nebo starší Java chybu, která již byla opravena. Společnost Oracle vydala v pondělí nové bezpečnostní aktualizace Java, aby řešila dvě kritické chyby, z nichž jedna byla aktivně využívána útočníky.

Java exploity byly tradičně dodávány jako nepodepsané applety - webové aplikace Java. Výkon takových apletů byl automatizován ve starších verzích Java, což umožnilo hackerům spustit útoky při stahování, které byly pro oběti naprosto transparentní.

Nastavení kontroly odvolání certifikátu v Javě 7

Počínaje vydáním v lednu v aktualizaci Java 7 v aktualizaci 11 jsou výchozí ovládací prvky zabezpečení pro webový obsah Java nastaveny na hodnotu vysoké a vyzývají uživatele k potvrzení, aby se applety mohly spouštět uvnitř prohlížečů bez ohledu na to, zda jsou digitálně podepsané nebo nikoli.

používání podepsaných exploitů nad nepodpory poskytuje výhody pro útočníky, protože potvrzovací dialogy zobrazené Java v obou případech jsou značně odlišné. Dialogy pro nepodepsané applety Java jsou vlastně označeny jako "Bezpečnostní varování".

Digitální podepisování je důležitou součástí zajištění toho, aby uživatelé mohli důvěřovat vašemu kódu, uvedl e-mailem Bogdan Botezatu, senior analytik e-hrozby u antivirového dodavatele Bitdefender. Potvrzovací dialog zobrazený pro podepsaný kód je mnohem diskrétnější a méně ohrožující než ten, který se zobrazuje v případě nepodepsaného kódu.

"Navíc samotná Java zpracovává odlišně podepsané a nepodepsané kódy a náležitě vynucuje bezpečnostní omezení," řekl Botezatu řekl. Pokud jsou například nastavení zabezpečení Java nastavena na hodnotu "velmi vysoká", nepodepsané applety se vůbec nespustí, zatímco podepsané applety se spustí, pokud uživatel potvrdí akci. V podnikových prostředích, kde jsou vynucena velmi vysoká bezpečnostní nastavení jazyka Java, může být podepisování kódu jediným způsobem, jak útočníci spustit škodlivý applet na cíleném systému, řekl.

Příklad varování zabezpečení pro podepsaný applet Java v aktualizaci Java 7

Tato nová exploze Java také ukázala, že Java nevykonává standardní kontrolu revokací digitálních certifikátů.

Výzkum, který naši výzkumníci našli v pondělí, byl podepsán s digitálním certifikátem, který je s největší pravděpodobností ukraden. Certifikát byl vydán společností Go Daddy společnosti Clearesult Consulting se sídlem v Austinu v Texasu a následně byla zrušena dne 7. prosince 2012.

Odvolání certifikátů se může použít zpětně a není jasné, kdy přesně Go Daddy označil certifikát pro zrušení. Nicméně, 25. února, tři dny předtím, než byl detekován nejstarší vzorek tohoto exploitu, byl certifikát již uveden jako zrušený v seznamu zrušených certifikátů zveřejněných společností, uvedl Kubec. Navzdory tomu společnost Java považuje certifikát za platný.

Na kartě Rozšířené v ovládacím panelu Java v kategorii Pokročilé nastavení zabezpečení existují dvě možnosti nazvané Kontrola certifikátů pro zrušení pomocí seznamů zrušených certifikátů (CRLs) "A" Povolit ověření certifikátu online "- druhá možnost používá protokol OCSP (Online Certificate Status Protocol). Obě tyto možnosti jsou ve výchozím nastavení zakázány.

Oracle v tuto chvíli nemá žádné připomínky k tomuto problému, uvedla agentura Oracle ve Velké Británii v úterý prostřednictvím e-mailu.

"Obezřetnost zabezpečení je pro vás velkým bezpečnostním dohledem, zejména proto, že Java je nejvíce cílenou součástí třetí strany softwaru od listopadu 2012, "řekl Botezatu. Nicméně společnost Oracle není v tomto ohledu sama, řekla výzkumná pracovnice a konstatuje, že Adobe dodává Adobe Reader 11 s důležitým mechanismem sandboxu, který je z důvodů použitelnosti ve výchozím nastavení zakázán.

Botezatu a Kubec jsou přesvědčeni, že útočníci budou stále více používat digitálně podepsané Java aby zablokoval nové bezpečnostní omezení Java.

Bezpečnostní firma Bit9 nedávno odhalila, že hackeři porušili jeden z digitálních certifikátů a používali jej k podepisování malwaru. V minulém roce hackeři učinili totéž s kompromitovaným digitálním certifikátem společnosti Adobe.

Tyto incidenty a tato nová exploze jazyka Java jsou důkazem toho, že platné digitální certifikáty mohou skončit podepisováním škodlivého kódu, řekl Botezatu. V tomto kontextu je aktivní kontrola zrušení certifikátů obzvláště důležitá, protože je to jediné zmírnění, které je k dispozici v případě kompromisu s certifikáty.

Uživatelé, kteří vyžadují Java v prohlížeči každý den, by měli zvážit možnost lepší kontroly certifikátů chránit před útoky využívajícími ukradené certifikáty, uvedl Adam Gowdiak, zakladatel polské výzkumné firmy pro výzkum v oblasti zranitelnosti Security Explorations, e-mailem. Výzkumníci výzkumu bezpečnosti objevili a hlásili více než 50 jaderných chyb Java v uplynulém roce.

Zatímco uživatelé by měli ručně povolit tyto možnosti odvolání certifikátů, mnoho z nich pravděpodobně nebude dělat to s ohledem na to, že ani nenainstalují bezpečnostní aktualizace, řekl Kubec. Vědecký pracovník doufá, že aplikace Oracle automaticky zapne funkci v budoucí aktualizaci.