«Είναι σίγουρα πακέτο Go01», Jindrich Kubec, πωλητής εντοπισμού ιών Avast, είπε μέσω ηλεκτρονικού ταχυδρομείου. Το πρώτο δείγμα αυτού του υπογεγραμμένου εκμεταλλεύματος Java ανιχνεύθηκε στις 28 Φεβρουαρίου,

Δεν ήταν άμεσα σαφές εάν αυτή η εκμετάλλευση στοχεύει σε μια νέα ευπάθεια ή ένα παλαιότερο ελάττωμα Java που έχει ήδη διορθωθεί. Η Oracle κυκλοφόρησε νέες ενημερώσεις ασφαλείας της Java τη Δευτέρα για να αντιμετωπίσει δύο κρίσιμα σημεία ευπάθειας, ένα από τα οποία εκμεταλλεύτηκε ενεργά οι εισβολείς.

Οι εκμεταλλεύσεις Java έχουν παραδοσιακά παραδοθεί ως μη υπογεγραμμένα applets Java εφαρμογές Web. Η εκτέλεση τέτοιων μικροεφαρμογών ήταν αυτοματοποιημένη σε παλαιότερες εκδόσεις της Java, οι οποίες επέτρεψαν στους χάκερς να εκκινήσουν επιθέσεις μεταφόρτωσης μέσω δίσκου που ήταν απολύτως διαφανείς για τα θύματα.

Ρυθμίσεις ελέγχου ανάκλησης πιστοποιητικών στην Java 7

Ξεκινώντας με την έκδοση Ιανουαρίου του Java 7 Update 11, τα προεπιλεγμένα στοιχεία ελέγχου ασφαλείας για το περιεχόμενο Java που βασίζεται στο Web έχουν ρυθμιστεί σε υψηλά επίπεδα, ζητώντας από τους χρήστες να επιβεβαιώσουν ότι τα applets επιτρέπεται να εκτελούνται μέσα σε προγράμματα περιήγησης, ανεξάρτητα από το αν είναι ψηφιακά υπογεγραμμένα ή όχι. η χρήση υπογραφέντων εκμεταλλεύσεων έναντι μη υπογεγραμμένων προσδίδει οφέλη στους επιτιθέμενους, διότι οι διαλόγοι επιβεβαίωσης που εμφανίζονται από την Java στις δύο περιπτώσεις είναι σημαντικά διαφορετικοί. Οι διαλόγοι για τα μικροεφαρμογές Java που δεν έχουν υπογραφεί είναι στην πραγματικότητα με τίτλο "Προειδοποίηση ασφαλείας".

Η ψηφιακή υπογραφή αποτελεί σημαντικό μέρος της διασφάλισης στους χρήστες να εμπιστεύονται τον κώδικα σας, δήλωσε ο Bogdan Botezatu, ανώτερος αναλυτής ηλεκτρονικής απειλής στην εταιρεία Bitdefender. Το διάλογο επιβεβαίωσης που εμφανίζεται για τον υπογεγραμμένο κώδικα είναι πολύ πιο διακριτό και λιγότερο απειλητικό από αυτό που εμφανίζεται στην περίπτωση του μη υπογεγραμμένου κώδικα.

"Επιπλέον, η ίδια η Java επεξεργάζεται υπογεγραμμένο και μη υπογεγραμμένο κώδικα με διαφορετικό τρόπο και επιβάλλει τους περιορισμούς ασφαλείας κατάλληλα," Botezatu είπε. Για παράδειγμα, αν οι ρυθμίσεις ασφαλείας Java έχουν οριστεί σε "πολύ υψηλές", οι υποσέλιδες μικροεφαρμογές δεν θα εκτελούνται καθόλου, ενώ οι υπογεγραμμένες μικροεφαρμογές θα εκτελούνται αν ο χρήστης επιβεβαιώσει τη δράση. Σε εταιρικά περιβάλλοντα όπου εφαρμόζονται πολύ υψηλές ρυθμίσεις ασφάλειας Java, η υπογραφή κώδικα μπορεί να είναι ο μόνος τρόπος για τους εισβολείς να εκτελούν ένα κακόβουλο applet σε ένα στοχευμένο σύστημα.

Παράδειγμα προειδοποίησης ασφαλείας για υπογεγραμμένο Java applet σε Java 7 Update 17

Αυτή η νέα εκμετάλλευση Java έφερε στο φως και το γεγονός ότι η Java δεν ελέγχει τις ανακλήσεις ψηφιακών πιστοποιητικών από προεπιλογή.

Η εκμετάλλευση που βρέθηκε από τους ερευνητές τη Δευτέρα υπογράφηκε με ένα ψηφιακό πιστοποιητικό το οποίο πιθανότατα κλέφθηκε. Το πιστοποιητικό εκδόθηκε από την Go Daddy σε μια εταιρεία με την επωνυμία Clearesult Consulting που εδρεύει στο Austin του Τέξας και στη συνέχεια ανακλήθηκε με ημερομηνία 7 Δεκεμβρίου 2012.

Οι ανακλήσεις πιστοποιητικών μπορούν να ισχύσουν αναδρομικά και δεν είναι σαφές πότε ακριβώς ο Go Daddy σημείωσε πιστοποιητικό ανάκλησης. Ωστόσο, στις 25 Φεβρουαρίου, τρεις ημέρες πριν εντοπιστεί το παλαιότερο δείγμα αυτού του εκμεταλλεύματος, το πιστοποιητικό είχε ήδη καταχωριστεί ως ανακλημένο στον κατάλογο ανάκλησης πιστοποιητικών που δημοσίευσε η εταιρεία, δήλωσε ο Kubec. Παρόλα αυτά, η Java θεωρεί έγκυρο το πιστοποιητικό.

Στην καρτέλα "Advanced" του πίνακα ελέγχου Java, στην κατηγορία "Προχωρημένες ρυθμίσεις ασφαλείας" υπάρχουν δύο επιλογές που ονομάζονται "Πιστοποιητικά ελέγχου για ανάκληση χρησιμοποιώντας λίστες ανάκλησης πιστοποιητικών) "Και" Ενεργοποίηση επικύρωσης πιστοποιητικού ηλεκτρονικού ταχυδρομείου "- η δεύτερη επιλογή χρησιμοποιεί OCSP (Πρωτόκολλο κατάστασης πιστοποιητικού ηλεκτρονικού ταχυδρομείου). Και οι δύο αυτές επιλογές είναι απενεργοποιημένες από προεπιλογή.

Η Oracle δεν έχει κανένα σχόλιο σχετικά με αυτό το θέμα αυτή τη στιγμή, σύμφωνα με το πρακτορείο PR της Οργάνωσης στο Ηνωμένο Βασίλειο, το οποίο δήλωσε την Τρίτη μέσω ηλεκτρονικού ταχυδρομείου.

του λογισμικού από το Νοέμβριο του 2012 ", δήλωσε ο Botezatu. Ωστόσο, η Oracle δεν είναι μόνος σε αυτό, δήλωσε ο ερευνητής, σημειώνοντας ότι η Adobe παραδίδει το Adobe Reader 11 με έναν σημαντικό μηχανισμό sandbox απενεργοποιημένο από προεπιλογή για λόγους χρηστικότητας.

Και οι δύο Botezatu και Kubec είναι πεπεισμένοι ότι οι επιτιθέμενοι θα χρησιμοποιούν όλο και περισσότερο ψηφιακά υπογεγραμμένη Java εκμεταλλεύεται για να παρακάμψει πιο εύκολα τους νέους περιορισμούς ασφαλείας της Java.

Η εταιρεία ασφαλείας Bit9 αποκάλυψε πρόσφατα ότι οι χάκερ έθεσαν σε κίνδυνο ένα από τα ψηφιακά πιστοποιητικά και το χρησιμοποίησαν για να υπογράψουν κακόβουλο λογισμικό. Το παρελθόν έτος, οι hackers έκαναν το ίδιο και με ένα συμβιβασμένο ψηφιακό πιστοποιητικό από την Adobe.

Αυτά τα περιστατικά και αυτό το νέο Java exploit αποτελούν απόδειξη ότι έγκυρα ψηφιακά πιστοποιητικά μπορούν να καταλήξουν να υπογράφουν κακόβουλο κώδικα, δήλωσε ο Botezatu. Σε αυτό το πλαίσιο, ο ενεργός έλεγχος για ανακλήσεις πιστοποιητικών είναι ιδιαίτερα σημαντικός, επειδή είναι ο μόνος μετριασμός που υπάρχει σε περίπτωση συμβιβασμού πιστοποιητικών.

Οι χρήστες που απαιτούν Java σε ένα πρόγραμμα περιήγησης σε καθημερινή βάση θα πρέπει να εξετάσουν το ενδεχόμενο να επιτρέψουν τον έλεγχο ανάκλησης πιστοποιητικού να προστατεύσει από επιθέσεις που εκμεταλλεύονται κλεμμένα πιστοποιητικά, δήλωσε ο Adam Gowdiak, ο ιδρυτής της πολωνικής εταιρείας ευπάθειας Research Research Security Explorations, μέσω ηλεκτρονικού ταχυδρομείου. Οι ερευνητές της Security Explorations έχουν εντοπίσει και ανέφεραν πάνω από 50 ευπάθειες Java κατά το παρελθόν έτος

Ενώ οι χρήστες θα πρέπει να ενεργοποιήσουν με μη αυτόματο τρόπο αυτές τις επιλογές ανάκλησης πιστοποιητικών, πολλοί από αυτούς πιθανότατα δεν θα το κάνουν αν λάβουν υπόψη ότι δεν εγκαθιστούν ούτε ενημερώσεις ασφαλείας.. Ο ερευνητής ελπίζει ότι η Oracle θα ενεργοποιήσει αυτόματα τη λειτουργία σε μελλοντική ενημέρωση