HACKLOG 1x25 - Guida alle Cryptovalute e al Bitcoin (Mining, Acquistare, in Dark Net)
Los investigadores de seguridad advierten que los ciberdelincuentes han comenzado a usar exploits de Java firmados con certificados digitales para engañar a los usuarios y permitir que el código malicioso se ejecute dentro de los navegadores.
sitio web perteneciente a la Universidad Tecnológica de Chemnitz en Alemania que fue infectado con un kit de herramientas de explotación web llamado g01pack, dijo el investigador de seguridad Eric Romang el martes en una publicación de blog.
"Definitivamente es paquete Go01", Jindrich Kubec, director de inteligencia de amenazas en el vendedor de antivirus Avast, dijo por correo electrónico. La primera muestra de este exploit Java firmado se detectó el 28 de febrero, dijo.
[Más información: cómo eliminar el malware de su PC con Windows]No estaba claro de inmediato si este exploit apunta a una nueva vulnerabilidad o un viejo error de Java que ya ha sido parchado. Oracle lanzó nuevas actualizaciones de seguridad de Java el lunes para abordar dos vulnerabilidades críticas, una de las cuales estaba siendo explotada activamente por atacantes.
Los exploits de Java se han entregado tradicionalmente como applets sin firmar: aplicaciones web de Java. La ejecución de dichos applets solía estar automatizada en versiones anteriores de Java, lo que permitía a los piratas informáticos lanzar ataques de descarga drive-by que eran completamente transparentes para las víctimas.
A partir del lanzamiento de enero de Java 7 Update 11, los controles de seguridad predeterminados para el contenido de Java basado en la web se configuran en alto, lo que solicita confirmación a los usuarios antes de permitir que los applets se ejecuten dentro de los navegadores, independientemente de si están firmados digitalmente o no.
Dicho esto, el uso de exploits firmados sobre los no firmados proporciona beneficios para los atacantes, porque los cuadros de diálogo de confirmación que muestra Java en los dos casos son considerablemente diferentes. Los diálogos para applets Java no firmados se titulan "Advertencia de seguridad".
La firma digital es una parte importante para garantizar a los usuarios que pueden confiar en su código, dijo por correo electrónico Bogdan Botezatu, analista de e-threat del vendedor de antivirus Bitdefender. El diálogo de confirmación que se muestra para el código firmado es mucho más discreto y menos amenazante que el mostrado en el caso del código sin firmar, dijo.
"Además, Java procesa el código firmado y no firmado de forma diferente y aplica las restricciones de seguridad de forma adecuada", Botezatu dijo. Por ejemplo, si la configuración de seguridad de Java está configurada en "muy alto", los applets sin firmar no se ejecutarán en absoluto, mientras que los applets firmados se ejecutarán si el usuario confirma la acción. En entornos corporativos donde se aplica una configuración de seguridad Java muy alta, la firma de código puede ser la única forma de que los atacantes ejecuten un applet malicioso en un sistema específico.
Este nuevo exploit de Java también ha sacado a la luz el hecho de que Java no verifica por revocación de certificados digitales por defecto.
El exploit encontrado por los investigadores el lunes fue firmado con un certificado digital que probablemente haya sido robado. El certificado fue emitido por Go Daddy a una empresa llamada Clearesult Consulting con sede en Austin, Texas, y posteriormente fue revocado con fecha del 7 de diciembre de 2012.
Las revocaciones de certificados pueden aplicarse retroactivamente y no está claro cuándo exactamente Go Daddy marcó el certificado de revocación Sin embargo, el 25 de febrero, tres días antes de que se detectara la muestra más antigua de este exploit, el certificado ya figuraba como revocado en la lista de revocación de certificados publicada por la empresa, dijo Kubec. A pesar de esto, Java ve el certificado como válido.
En la pestaña "Avanzado" del panel de control de Java, en la categoría "Configuración de seguridad avanzada", hay dos opciones llamadas "Comprobar certificados para revocación utilizando listas de revocación de certificados (CRL) "Y" Habilitar la validación de certificados en línea ": la segunda opción utiliza OCSP (Protocolo de estado de certificados en línea). Ambas opciones están deshabilitadas por defecto.
Oracle no tiene ningún comentario sobre este tema en este momento, la agencia de relaciones públicas de Oracle en el Reino Unido dijo el martes por correo electrónico.
"Sacrificar la seguridad por conveniencia es una seria vigilancia de seguridad, especialmente porque Java ha sido la pieza de terceros más específica de software desde noviembre de 2012 ", dijo Botezatu. Sin embargo, Oracle no está solo en esto, dijo el investigador, señalando que Adobe envía Adobe Reader 11 con un importante mecanismo de espacio aislado por razones de usabilidad.
Tanto Botezatu como Kubec están convencidos de que los atacantes comenzarán a usar cada vez más Java con firma digital. explota para eludir más fácilmente las nuevas restricciones de seguridad de Java.
La firma de seguridad Bit9 reveló recientemente que los piratas informáticos pusieron en peligro uno de sus certificados digitales y lo usaron para firmar malware. El año pasado, los hackers hicieron lo mismo con un certificado digital comprometido de Adobe.
Esos incidentes y este nuevo exploit de Java son una prueba de que los certificados digitales válidos pueden terminar firmando código malicioso, dijo Botezatu. En este contexto, comprobar activamente las revocaciones de certificados es particularmente importante porque es la única mitigación disponible en caso de compromiso del certificado, dijo.
Los usuarios que requieren Java diariamente en un navegador deberían considerar habilitar la verificación de revocación de certificados para mejorar proteger contra los ataques que explotan los certificados robados, dijo Adam Gowdiak, fundador de la firma de investigación de vulnerabilidad polaca Security Explorations, a través de correo electrónico. Los investigadores de Security Explorations han encontrado y reportado más de 50 vulnerabilidades de Java en el último año.
Aunque los usuarios deberían habilitar manualmente estas opciones de revocación de certificados, muchas de ellas probablemente no lo hagan teniendo en cuenta que ni siquiera instalan actualizaciones de seguridad, dijo Kubec. El investigador espera que Oracle active la característica automáticamente en una actualización futura.
Reclamos de Satyam 15 contratos firmados en enero
Satyam ha agregado nuevos clientes y pagado salarios en enero a pesar del escándalo financiero que lo rodea.
Websense: la mayoría de navegadores habilitados para Java vulnerables a exploits Java generalizados
La mayoría de las instalaciones de navegador usan versiones obsoletas del complemento Java son vulnerables a al menos uno de varios exploits usados actualmente en kits de herramientas populares de ataque web, según estadísticas publicadas por el proveedor de seguridad Websense.
ExploitShield: exploits exploits, vulnerabilidades, descargas maliciosas y más
Descarga ExploitShield, una nueva herramienta que promete mantener protegida la computadora de Windows protegiéndolo de ataques de explotación contra vulnerabilidades. También bloqueará las infecciones maliciosas de descarga desde los kits de exploits.