Cyberkriminelle bruger digitalt signerede Java-udnyttelser til at narre brugere

Sikkerhedsforskere advarer om, at cyberkriminelle er begyndt at bruge Java-udnyttelser, der er underskrevet med digitale certifikater, for at narre brugere til at lade den ondsindede kode køre inde i browsere.

En underskrevet Java-udnyttelse blev opdaget mandag website tilhørende Chemnitz University of Technology i Tyskland, der var inficeret med en web-udnyttelse værktøjssæt kaldet g01pack, sikkerhedsforsker Eric Romang sagde tirsdag i et blogindlæg.

"Det er helt sikkert go01 pack", Jindrich Kubec, direktør for hot intelligence at antivirus sælger Avast, sagde via email. Den første prøve af denne underskrevne Java-udnyttelse blev registreret den 28. februar, sagde han.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Det var ikke umiddelbart klart, om denne udnyttelse målretter mod en ny sårbarhed eller en ældre Java fejl, der allerede er patched. Oracle udgivet nye Java-sikkerhedsopdateringer mandag for at løse to kritiske sårbarheder, hvoraf den ene blev aktivt udnyttet af angriberne.

Java-udgaver er traditionelt blevet leveret som usignerede applets-Java Web-applikationer. Eksekveringen af ​​sådanne applets blev brugt til at blive automatiseret i ældre Java-versioner, hvilket gjorde det muligt for hackere at starte nedløbsangreb, der var fuldstændig gennemsigtige for ofrene.

Indstillinger for certifikatreaktionskontrol i Java 7

Begyndende med januar-udgivelsen af Java 7 Update 11 er standard sikkerhedskontrollerne for web-baseret Java-indhold sat til høje, hvilket giver brugerne mulighed for bekræftelse, før appletter må køre inde i browsere, uanset om de er digitalt signerede eller ej.

Når det er sagt, Hvis du bruger underskrevne udnyttelser over usignerede, giver de fordele for angriberne, fordi bekræftelsesdialogerne, der vises i Java i de to tilfælde, er væsentligt anderledes. Dialogerne for usignerede Java-applets er faktisk titlen "Security Warning."

Digital signering er en vigtig del af at sikre brugere, at de kan stole på din kode, Bogdan Botezatu, en senior e-trussel analytiker hos antivirusleverandøren Bitdefender, sagde via e-mail. Bekræftelsesdialogboksen, der vises for underskrevet kode, er meget mere diskret og mindre truende end den, der vises i tilfælde af usigneret kode, sagde han.

"Desuden processerer Java sig selv signeret og usigneret kode forskelligt og håndhæver sikkerhedsrestriktioner på passende vis," Botezatu sagde. Hvis Java-sikkerhedsindstillingerne f.eks. Er indstillet til "meget høje", vil ikke-signerede applets slet ikke løbe, mens signerede applets kører, hvis brugeren bekræfter handlingen. I virksomhedsmiljøer, hvor meget høje Java-sikkerhedsindstillinger håndhæves, kan kodesignering være den eneste måde, hvorpå angriberne kan køre en ondsindet applet på et målrettet system, sagde han.

Eksempel på sikkerhedsadvarsel for underskrevet Java-applet i Java 7 Update 17

Denne nye Java-udnyttelse har også belyst det faktum, at Java ikke kontrollerer for digitale certifikatudløb som standard.

Udnyttelsen fundet af forskere mandag blev underskrevet med et digitalt certifikat, der sandsynligvis blev stjålet. Certifikatet blev udstedt af Go Daddy til et firma kaldet Clearesult Consulting baseret i Austin, Texas, og blev senere tilbagekaldt med en dato den 7. december 2012.

Certifikat tilbagekaldelser kan gælde med tilbagevirkende kraft, og det er ikke klart, hvor præcis Go Daddy flaggede certifikat for tilbagekaldelse. Men den 25. februar blev tre dage før den ældste prøve af denne udnyttelse opdaget, at certifikatet allerede var opført som tilbagekaldt i certifikatophævelseslisten udgivet af virksomheden, sagde Kubec. På trods af dette ser Java certifikatet som gyldigt.

På fanen "Avanceret" på Java-kontrolpanelet under kategorien "Avancerede sikkerhedsindstillinger" er der to muligheder, der hedder "Kontroller certifikater for tilbagekaldelse ved hjælp af certifikatudløbslister (CRL'er)) "Og" Aktiver validering af online-certifikater "- den anden mulighed bruger OCSP (Online Certificate Status Protocol). Begge disse muligheder er deaktiveret som standard.

Oracle har ikke nogen kommentarer til dette problem på nuværende tidspunkt. Oracles PR-bureau i Storbritannien sagde tirsdag via email.

"At give sikkerhed for nemheds skyld er et seriøst sikkerhedsovervågning, især da Java har været den mest målrettede tredjepartstykke af software siden november 2012, "sagde Botezatu. Oracle er imidlertid ikke alene herom, siger forskeren, og Adobe noterer Adobe Reader 11 med en vigtig sandkasse-mekanisme, der er deaktiveret som standard af brugbarhed.

Både Botezatu og Kubec er overbeviste om, at angribere i stigende grad vil begynde at bruge digitalt signeret Java udnyttes for nemt at omgå Java's nye sikkerhedsrestriktioner.

Sikkerhedsfirma Bit9 afslørede for nylig, at hackere kompromitterede et af dets digitale certifikater og brugte det til at underskrive malware. Sidste år gjorde hackere det samme med et kompromitteret digitalt certifikat fra Adobe.

Disse hændelser og denne nye Java-udnyttelse er et bevis for, at gyldige digitale certifikater kan ende med at underskrive ondsindet kode, sagde Botezatu. I denne sammenhæng er det aktivt vigtigt at kontrollere, at certifikat tilbagekaldes, fordi det er den eneste begrænsning, der er til rådighed i tilfælde af certifikatkompromis, sagde han.

Brugere, der har brug for Java i en browser hver dag, bør overveje at muliggøre godkendelseskontrol for bedre beskytte mod angreb, der udnytter stjålne certifikater, siger Adam Gowdiak, grundlæggeren af ​​polsk sårbarhedsforskningsfirma Security Explorations, via e-mail. Sikkerhedsundersøgelser Forskere har fundet og rapporteret over 50 Java sårbarheder i det forløbne år.

Mens brugere manuelt skal aktivere disse tilbagekaldelsesindstillinger for certifikater, vil mange sandsynligvis ikke gøre det i betragtning af at de ikke engang installerer sikkerhedsopdateringer, siger Kubec. Forskeren håber, at Oracle automatisk tænder funktionen i en fremtidig opdatering.