Cybercriminals pomoću digitalno potpisanih Java iskorištavanja kako bi zavarali korisnike

Sigurnosni istraživači upozoravaju da su cybercriminals počeli koristiti Java iskorištavanje potpisane digitalnim certifikatima kako bi zavarali korisnike da dopuste da se zlonamjerni kôd pokrene unutar preglednika.

Potpisani Java iskorištavanje otkriveno je u ponedjeljak web stranica koja pripada Tehnološkom sveučilištu u Chemnitzu u Njemačkoj koja je bila zaražena web-eksploatornim alatom zvanim g01pack, priopćio je Eric Romang u blog postu.

"Definitivno je go01 paket", rekao je Jindrich Kubec, direktor inteligencije pri prijetnji antivirusni dobavljač Avast, rekao je putem e-pošte.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Nije bilo odmah jasno je li ovo iskorištavanje ciljano na novu ranjivost ili starija Java pogreška koja je već zakrpa. Oracle je u ponedjeljak objavio nova Java sigurnosna ažuriranja kako bi se riješila dva ključna ranjivost, od kojih je jedna aktivno iskorištena od strane napadača.

Java iskorištava tradicionalno su isporučeni kao nepotpisani appleti - Java web aplikacije. Izvođenje takvih aplikacija bilo je automatizirano u starijim Java verzijama, što je omogućilo hakerima pokretanje napada poginulih napada koji su bili potpuno transparentni za žrtve.

Postavke provjere valjanosti potvrde u Java 7

Počevši od siječnja Java 7 Update 11, zadane sigurnosne kontrole za Java sadržaj na webu postavljene su na visoku razinu, potičući korisnike na potvrdu prije nego što se aplikacije mogu pokrenuti unutar preglednika, bez obzira jesu li digitalno potpisane ili ne.

To je rekao, korištenje potpisanih eksploatacija preko nepotpisanih podataka pruža pogodnosti za napadače, jer se dijalozima potvrde Java prikazuju u dva slučaja znatno različiti. Dijaloški okviri za nepotpisane Java aplete zapravo nazivaju "Sigurnosno upozorenje".

Digitalno potpisivanje je važan dio pružanja korisnicima kojima mogu vjerovati vašem kodu, rekao je Bogdan Botezatu, viši analitičar za e-prijetnju kod antivirusnog dobavljača Bitdefender. Dijalog potvrde za potpisani kôd je mnogo diskretniji i manje prijeteći od onog koji je prikazan u slučaju nepotpisanog koda.

"Osim toga, Java sama procesira drugačije kod potpisanog i nepotpisanog koda i na odgovarajući način provodi sigurnosna ograničenja", Botezatu rekao je. Na primjer, ako su postavke Java sigurnosnih postavki postavljene na "vrlo visoku", nepotpisani appleti neće se pokrenuti, a potpisani apleti će se pokrenuti ako korisnik potvrdi radnju. U korporacijskim okruženjima gdje se provode vrlo visoke sigurnosne postavke Java, potpisivanje kodova može biti jedini način da napadači pokreću zlonamjerni aplet na ciljanom sustavu.

Primjer sigurnosnog upozorenja za potpisane Java aplet u verziji Java 7 7

Ovo novo Java iskorištavanje također je pokazalo činjenicu da Java po defaultu ne provodi digitalne potvrde o certifikatima.

Istraživači koji su pronašli istraživačima u ponedjeljak potpisali su digitalni certifikat koji je najvjerojatnije ukraden. Certifikat je izdala tvrtka Go Daddy tvrtki Clearedult Consulting sa sjedištem u Austinu u Teksasu, a potom je ukinuta s datumom 7. prosinca 2012.

Revocation certifikata može se primijeniti retroaktivno i nije jasno kada točno Go tatica označava potvrda o opozivu. Međutim, 25. veljače, tri dana prije nego što je otkrio najstariji uzorak tog iskorištavanja, potvrda je već navedena kao ukinuta u listi opoziva certifikata koju je objavila tvrtka, kazao je Kubec. Unatoč tome, Java smatra da je potvrda valjana.

Na kartici "Napredno" na upravljačkoj ploči Java, u kategoriji "Napredne sigurnosne postavke" postoje dvije opcije pod nazivom "Provjera potvrda o opozivu pomoću popisa opozvanih certifikata (CRLs) "I" Omogući online potvrdu potvrde "- druga opcija koristi OCSP (Online Certificate Status Protocol). Obje ove opcije su onemogućene prema zadanim postavkama.

U ovom trenutku Oracle nema komentara o ovom problemu, priopćio je Oracleova agencija za odnose s javnošću u Velikoj Britaniji putem e-pošte.

"Žrtvovanje sigurnosti zbog praktičnosti ozbiljan je nadzor nad sigurnosnim nadzorom, pogotovo jer je Java bio najugledniji dio treće strane softver od studenog 2012 ", rekao je Botezatu. Međutim, Oracle nije u tome sam, priopćio je istraživač, ističući kako Adobe posjeduje Adobe Reader 11 s važnim mehanizmom pješčanih sandučića koji je po defaultu onemogućen zbog upotrebljivosti.

Obje Botezatu i Kubec uvjerene su da će napadači sve više početi koristiti digitalno potpisanu Java iskorištava kako bi lakše zaobišao nova sigurnosna ograničenja Java.

Sigurnosna tvrtka Bit9 nedavno je otkrila da hakeri ugrožavaju jedan od svojih digitalnih certifikata i koriste ih za prijavu zlonamjernog softvera. Prošle su godine hakeri učinili isto s kompromitiranom digitalnom potvrdom tvrtke Adobe.

Ti incidenti i ovaj novi Java iskorištavanje dokazuju da valjani digitalni certifikati mogu završiti potpisivanjem zlonamjernog koda, rekao je Botezatu. U tom kontekstu, aktivno provjeravanje opoziva certifikata je osobito važno jer je jedini ublažavanje dostupan u slučaju kompromisa potvrde, rekao je.

Korisnici koji svakodnevno trebaju Java u pregledniku trebaju razmotriti mogućnost bolje provjere potvrde o certifikatu zaštiti od napada iskorištavanja ukradenih potvrda, izjavio je Adam Gowdiak, utemeljitelj poljske istraživačke tvrtke ranjivosti Security Explorations, putem e-pošte. Istraživači sigurnosnih istraživanja pronašli su i prijavili više od 50 Java ranjivosti u protekloj godini.

Iako bi korisnici trebali ručno omogućiti ove mogućnosti opoziva certifikata, mnogi od njih vjerojatno neće to učiniti s obzirom da ne uopće instaliraju sigurnosna ažuriranja, rekao je Kubec., Istraživač se nada da će Oracle automatski uključiti značajku u budućem ažuriranju.