Cyberprzestępcy wykorzystują cyfrowo podpisane exploity Javy do oszukiwania użytkowników

Badacze bezpieczeństwa ostrzegają, że cyberprzestępcy zaczęli używać exploitów Javy podpisanych cyfrowymi certyfikatami, aby nakłonić użytkowników do umożliwienia złośliwego kodu do działania w przeglądarkach.

Znany exploit w Javie został odkryty w poniedziałek strona internetowa należąca do niemieckiego Uniwersytetu Technologicznego w Chemnitz, która została zainfekowana zestawem narzędzi do exploitów internetowych o nazwie g01pack, badacz bezpieczeństwa Eric Romang powiedział we wtorek w poście na blogu

"To zdecydowanie pakiet go01", Jindrich Kubec, dyrektor ds. producent antywirusowy Avast, powiedział e-mailem. Pierwsza próbka tego podpisanego exploita w Javie została wykryta 28 lutego, powiedział.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Nie było od razu jasne, czy ten exploit jest ukierunkowany na nową lukę lub starszą lukę w Javie, która została już naprawiona. Firma Oracle opublikowała w poniedziałek nowe aktualizacje zabezpieczeń Java, aby zająć się dwoma krytycznymi lukami, z których jeden był aktywnie wykorzystywany przez napastników.

Luki w języku Java były tradycyjnie dostarczane jako niepodpisane aplety - aplikacje internetowe Java. Wykonanie takich apletów było zautomatyzowane w starszych wersjach Javy, co umożliwiło hakerom uruchomienie ataków drive-by download, które były całkowicie transparentne dla ofiar.

Ustawienia sprawdzania odwołań certyfikatów w Javie 7

Począwszy od wydania styczniowego aktualizacji 7 Java 11, domyślne ustawienia bezpieczeństwa dla treści Java opartych na sieci Web są ustawione na wysokie, monitując użytkowników o potwierdzenie przed dopuszczeniem apletów do działania w przeglądarkach, niezależnie od tego, czy są one podpisane cyfrowo czy nie.

To powiedziawszy, używanie podpisanych exploitów w stosunku do niepodpisanych daje korzyści atakującym, ponieważ okna dialogowe potwierdzeń wyświetlane przez Javę w dwóch przypadkach są znacząco różne. Okna dialogowe dla niepodpisanych apletów Java są w rzeczywistości zatytułowane "Ostrzeżenie o zabezpieczeniach".

Cyfrowe podpisywanie jest ważną częścią zapewnienia użytkownikom, że mogą zaufać Twojemu kodowi, Bogdan Botezatu, starszy analityk e-zagrożenia w firmie antywirusowej Bitdefender, powiedział za pośrednictwem poczty elektronicznej. Okno dialogowe potwierdzenia wyświetlane dla podpisanego kodu jest znacznie bardziej dyskretne i mniej groźne niż wyświetlane w przypadku niepodpisanego kodu, powiedział.

"Ponadto sama Java przetwarza podpisany i niepodpisany kod i odpowiednio egzekwuje ograniczenia bezpieczeństwa," Botezatu powiedziany. Na przykład, jeśli ustawienia zabezpieczeń Java są ustawione na "bardzo wysokie", niepodpisane aplety nie będą działać w ogóle, a podpisane aplety będą działać, jeśli użytkownik potwierdzi działanie. W środowiskach korporacyjnych, w których egzekwowane są bardzo wysokie ustawienia zabezpieczeń Java, podpisywanie kodu może być jedynym sposobem, aby atakujący uruchomili szkodliwy aplet w docelowym systemie.

Przykład ostrzeżenia o zabezpieczeniach dla podpisanego apletu Java w Java 7 Update 17

Ten nowy exploit Javy ujawnił również, że Java nie sprawdza domyślnie odwołania certyfikatów cyfrowych.

Exploit znaleziony przez naukowców poniedziałek został podpisany certyfikatem cyfrowym, który najprawdopodobniej został skradziony. Certyfikat został wydany przez Go Daddy firmie Clearesult Consulting z siedzibą w Austin w Teksasie, a następnie unieważniona z datą 7 grudnia 2012 r.

Odwołania certyfikatów mogą być stosowane z mocą wsteczną i nie jest jasne, kiedy dokładnie Go Daddy oznaczył certyfikat do odwołania. Jednak w dniu 25 lutego, na trzy dni przed wykryciem najstarszej próbki tego exploita, certyfikat został już wymieniony jako unieważniony na liście unieważnień certyfikatów opublikowanej przez firmę, powiedział Kubec. Mimo to Java uznaje certyfikat za ważny.

Na karcie "Zaawansowane" w panelu sterowania Java w kategorii "Zaawansowane ustawienia zabezpieczeń" dostępne są dwie opcje o nazwie "Sprawdzanie certyfikatów do odwołania przy użyciu list odwołań certyfikatów (listy CRL) "I" Włącz weryfikację certyfikatu online "- druga opcja wykorzystuje protokół OCSP (Online Certificate Status Protocol). Obie te opcje są domyślnie wyłączone.

W tej chwili firma Oracle nie ma żadnych komentarzy na ten temat, poinformowała we wtorek agencja PR Oracle w Wielkiej Brytanii za pośrednictwem poczty elektronicznej.

"Poświęcanie bezpieczeństwa dla wygody jest poważnym nadzorem bezpieczeństwa, zwłaszcza, że ​​Java jest najbardziej ukierunkowanym produktem innej firmy oprogramowania od listopada 2012 r. ", powiedział Botezatu. Jednak Oracle nie jest sam w tym względzie, stwierdził badacz, zauważając, że Adobe udostępnia program Adobe Reader 11 z ważnym mechanizmem sandbox wyłączonym domyślnie ze względów praktycznych.

Zarówno Botezatu, jak i Kubec są przekonani, że napastnicy coraz częściej będą używać podpisanej cyfrowo Javy wykorzystuje w celu ominięcia nowych ograniczeń bezpieczeństwa Java.

Firma ochroniarska Bit9 niedawno ujawniła, że ​​hakerzy narazili się na jeden ze swoich cyfrowych certyfikatów i użyli go do podpisania złośliwego oprogramowania. W ubiegłym roku hakerzy zrobili to samo z zaatakowanym cyfrowym certyfikatem firmy Adobe.

Te incydenty i ten nowy exploit w Javie są dowodem, że ważne cyfrowe certyfikaty mogą zakończyć podpisywanie złośliwego kodu, powiedział Botezatu. W tym kontekście aktywne sprawdzanie unieważnień certyfikatów jest szczególnie ważne, ponieważ jest to jedyne ograniczenie dostępne w przypadku naruszenia certyfikatu.

Użytkownicy, którzy wymagają codziennej obsługi języka Java w przeglądarce, powinni rozważyć włączenie sprawdzania unieważnienia certyfikatu. chroni przed atakami wykorzystującymi skradzione certyfikaty, powiedział Adam Gowdiak, założyciel polskiej firmy badawczej ds. bezpieczeństwa, Security Explorations, za pośrednictwem poczty elektronicznej. Naukowcy z Security Explorations znaleźli i zgłosili ponad 50 luk w Javie w ciągu ostatniego roku.

Podczas gdy użytkownicy powinni ręcznie włączać te opcje unieważniania certyfikatów, wielu z nich prawdopodobnie nie zrobi tego, biorąc pod uwagę, że nie instalują nawet aktualizacji zabezpieczeń, powiedział Kubec. Badacz ma nadzieję, że Oracle automatycznie włączy tę funkcję w przyszłej aktualizacji.