Car-tech

Cyberkriminelle bruker digitalt signerte Java-utgaver til å lure brukere

Penneo - Digitale signatur workflows, compliance & sikkerhed - Digital underskrift med NemID

Penneo - Digitale signatur workflows, compliance & sikkerhed - Digital underskrift med NemID
Anonim

Sikkerhetsforskere advarer om at cyberkriminelle har begynt å bruke Java-utnyttelser signert med digitale sertifikater for å lure brukere til å la den ondsinnede koden løpe i nettlesere.

En signert Java-utgave ble oppdaget mandag på en Nettsted som tilhører Chemnitz University of Technology i Tyskland, som ble smittet med en webutnyttet toolkit kalt g01pack, sier sikkerhetsforsker Eric Romang på tirsdag i et blogginnlegg.

"Det er definitivt go01-pakke", Jindrich Kubec, direktør for trussel intelligens på antivirusleverandør Avast, sa via e-post. Den første prøven av denne signerte Java-utgaven ble oppdaget 28. februar, sa han.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Det var ikke umiddelbart klart om dette utnytter mål et nytt sikkerhetsproblem eller en eldre Java-feil som allerede har blitt patched. Oracle ga ut nye Java-sikkerhetsoppdateringer på mandag for å ta opp to kritiske sårbarheter, hvorav en ble utnyttet av angripere.

Java-operasjoner har tradisjonelt blitt levert som usignerte applets-Java Web-applikasjoner. Utførelsen av slike applets pleide å bli automatisert i eldre Java-versjoner, noe som tillot hackere å starte nedlastingsangrep som var helt gjennomsiktige for ofrene.

Innstillinger for sertifiseringskontroll i Java 7

Fra januar utgivelsen av Java 7 Update 11, er standard sikkerhetskontrollene for nettbasert Java-innhold satt til høyt, og brukerne blir bedt om å bekrefte før appletter får lov til å kjøre i nettlesere, uavhengig av om de er digitalt signerte eller ikke.

Når det er sagt, Bruk av signerte utførelser over usignerte, gir fordeler for angripere, fordi bekreftelsesdialogene som vises av Java i de to tilfellene, er vesentlig forskjellige. Dialogene for usignerte Java-applets er faktisk navngitt "Sikkerhetsadvarsel."

Digital signering er en viktig del for å forsikre brukere om at de kan stole på koden, sier Bogdan Botezatu, en senior e-trusselytiker ved antivirusleverandøren Bitdefender, via e-post. Bekreftelsesdialogboksen som vises for signert kode er mye mer diskret og mindre truende enn den som ble vist i tilfelle usignert kode, sa han.

"I tillegg prosesserer Java selv signert og usignert kode forskjellig og håndhever sikkerhetsbegrensninger på riktig måte," Botezatu sa. Hvis Java-sikkerhetsinnstillingene for eksempel er satt til "svært høye", vil ikke-signerte applets kjøre i det hele tatt, mens signerte applets vil kjøre hvis brukeren bekrefter handlingen. I bedriftsmiljøer hvor meget høye Java-sikkerhetsinnstillinger blir håndhevet, kan kodesignering være den eneste måten for angripere å kjøre en skadelig applett på et målrettet system, sa han.

Eksempel på sikkerhetsadvarsel for signert Java-applet i Java 7 Update 17

Denne nye Java-exploiteren har også gjort det klart at Java ikke kontrollerer for automatisk tilbakekalling av digitale sertifikater.

Utnyttelsen funnet av forskere mandag ble signert med et digitalt sertifikat som mest sannsynlig ble stjålet. Sertifikatet ble utstedt av Go Daddy til et firma kalt Clearesult Consulting basert i Austin, Texas, og ble senere tilbakekalt med en dato den 7. desember 2012.

Sertifikatoppsigelser kan gjelde retroaktivt, og det er ikke klart når akkurat Go Daddy flagget sertifikat for tilbakekalling. Men den 25. februar ble tre dager før den eldste prøven av denne utnyttelsen oppdaget, sertifikatet var allerede oppført som tilbakekalt i sertifikatopphevelseslisten som ble publisert av selskapet, sa Kubec. Til tross for dette ser Java sertifikatet som gyldig.

På kategorien "Avansert" i Java-kontrollpanelet, under kategorien "Avanserte sikkerhetsinnstillinger", er det to alternativer kalt "Kontroller sertifikater for tilbakekalling ved hjelp av Sertifikatutløpslister (CRL) "Og" Aktiver elektronisk sertifikat validering "- det andre alternativet bruker OCSP (Online Certificate Status Protocol). Begge disse alternativene er deaktivert som standard.

Oracle har ikke noen kommentar om dette problemet, og Oracles PR-byrå i Storbritannia sa tirsdag via e-post.

"Å tilby sikkerhet for enkelhets skyld er et seriøst sikkerhetsovervåkning, spesielt siden Java har vært den mest målrettede tredjepartstykket av programvare siden november 2012, "sa Botezatu. Men Oracle er ikke alene i dette, sa forskeren og noterte at Adobe leverer Adobe Reader 11 med en viktig sandbokmekanisme deaktivert som standard for brukervennlighet.

Både Botezatu og Kubec er overbevist om at angriperne i økende grad vil begynne å bruke digitalt signert Java utnytter for å omgå enkle Java-sikkerhetsrestriksjoner.

Sikkerhetsfirma Bit9 viste nylig at hackere har skadet et av sine digitale sertifikater og brukt det til å signere skadelig programvare. I fjor gjorde hackere det samme med et kompromittert digitalt sertifikat fra Adobe.

Disse hendelsene og denne nye Java-utgaven er et bevis på at gyldige digitale sertifikater kan ende opp med å signere skadelig kode, sa Botezatu. I denne sammenhengen er det spesielt viktig å sjekke om sertifikatoppsigelser er viktige fordi det er den eneste begrensningen som er tilgjengelig ved sertifikatkompromiss, sa han.

Brukere som trenger Java i en nettleser på daglig basis, bør vurdere å aktivere sertifisering av sertifikat for å bedre beskytte mot angrep som utnytter stjålne sertifikater, sier Adam Gowdiak, grunnleggeren av polsk sårbarhetsforskningsfirma Security Explorations, via e-post. Sikkerhetsundersøkelser Forskere har funnet og rapportert over 50 Java-sårbarheter i løpet av det siste året.

Mens brukerne skal aktivere disse tilbakekallingsalternativene manuelt, vil mange av dem trolig ikke gjøre det, vurderer at de ikke engang installerer sikkerhetsoppdateringer, sa Kubec.. Forskeren håper at Oracle vil slå på funksjonen automatisk i en fremtidig oppdatering.