Киберпреступники, использующие эксплойты с цифровой подписью Java для обмана пользователей

Исследователи безопасности предупреждают, что злоумышленники начали использовать эксплойты Java, подписанные с цифровыми сертификатами, чтобы обмануть пользователей, чтобы позволить вредоносному коду запускаться внутри браузеров.

Подписанный эксплойт Java был обнаружен в понедельник на веб-сайт, принадлежащий Технологическому университету Хемница в Германии, который был заражен инструментарием веб-эксплойта под названием g01pack, сообщил исследователь безопасности Эрик Романг во вторник в сообщении в блоге.

«Это определенно go01 pack», - сказал Йиндрих Кубек, директор отдела разведки антивирусного производителя Avast, сказал по электронной почте. Первый пример этого подписанного эксплойта Java был обнаружен 28 февраля, сказал он.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Не сразу стало ясно, если этот эксплойт нацелен на новую уязвимость или более старый недостаток Java, который уже был исправлен. Oracle выпустила новые обновления безопасности Java в понедельник для устранения двух критических уязвимостей, одна из которых активно использовалась злоумышленниками.

Эксплойты Java традиционно поставлялись в виде неподписанных апплетов - веб-приложений Java. Выполнение таких апплетов было автоматизировано в более ранних версиях Java, что позволило хакерам запускать атаки при загрузке, которые были полностью прозрачны для жертв.

Настройки проверки отзыва сертификатов в Java 7

Начиная с выпуска в январе от версии 7 7 для Java 7, элементы управления безопасности по умолчанию для содержимого Java в Интернете установлены на высокий уровень, что побуждает пользователей к подтверждению, прежде чем апплеты могут запускаться внутри браузеров, независимо от того, подписаны они цифрой или нет.

Тем не менее, использование подписанных эксплойтов по беззнаковым данным дает преимущества для злоумышленников, потому что диалоги подтверждения, отображаемые Java в двух случаях, значительно отличаются. Диалоги для неподписанных Java-апплетов на самом деле называются «Предупреждение о безопасности».

Цифровое подписание является важной частью гарантирования пользователям, которым они могут доверять вашему коду, сказал по электронной почте Богдан Ботезату, старший аналитик по электронной угрозе у антивирусного поставщика Bitdefender. Диалог подтверждения, отображаемый для подписанного кода, гораздо более дискретный и менее угрожающий, чем тот, который отображается в случае неподписанного кода, сказал он.

«Кроме того, Java сама обрабатывает подписанный и неподписанный код по-разному и соответственно применяет ограничения безопасности», Botezatu сказал. Например, если параметры безопасности Java установлены на «очень высокие», неактивные апплеты не будут запускаться вообще, а подписанные апплеты будут выполняться, если пользователь подтвердит действие. Он сказал, что в корпоративных средах, где соблюдены очень высокие параметры безопасности Java, подписание кода может быть единственным способом для запуска вредоносного апплета в целевой системе.

Пример предупреждения безопасности для подписанного Java-апплета в Java 7 Update 17

Этот новый эксплойт Java также выявил тот факт, что Java по умолчанию не проверяет наличие цифровых сертификатов.

Подход, найденный исследователями в понедельник, был подписан с цифровым сертификатом, который скорее всего украден. Сертификат был выпущен Go Daddy в компанию Clearesult Consulting, основанную в Остине, штат Техас, и впоследствии был отозван с датой 7 декабря 2012 года.

Сертификаты могут применяться ретроактивно, и неясно, когда именно Go Daddy отметил сертификат об отзыве. Однако, 25 февраля, за три дня до того, как был обнаружен самый старый образец этого эксплойта, сертификат уже был указан как отозванный в списке отзыва сертификатов, опубликованном компанией, сказал Кубек. Несмотря на это, Java считает сертификат действительным.

На вкладке «Дополнительно» панели управления Java в разделе «Дополнительные параметры безопасности» есть два параметра «Проверка сертификатов для отзыва» с использованием списков отзыва сертификатов (CRLs)) "И" Включить проверку онлайн-сертификатов "- второй вариант использует протокол OCSP (Online Certificate Status Protocol). Обе эти опции по умолчанию отключены.

Oracle не имеет комментариев по этому вопросу в настоящее время, PR-агентство Oracle в Великобритании сообщило во вторник по электронной почте.

«Жестокая безопасность для удобства - это серьезный контроль над безопасностью, тем более, что Java является наиболее целенаправленной сторонней частью программного обеспечения с ноября 2012 года », - сказал Ботезату. Однако Oracle не одинок в этом, сказал исследователь, отметив, что Adobe отправляет Adobe Reader 11 с важным механизмом песочницы по умолчанию по причинам удобства использования.

Оба Botezatu и Kubec убеждены, что злоумышленники будут все чаще использовать цифровую подпись Java эксплойты, чтобы легче обойти новые ограничения безопасности Java.

Брандмауэр безопасности Bit9 недавно обнаружил, что хакеры скомпрометировали один из своих цифровых сертификатов и использовали его для подписи вредоносного ПО. В прошлом году хакеры сделали то же самое с взломанным цифровым сертификатом от Adobe.

Эти инциденты и этот новый эксплойт Java являются доказательством того, что действительные цифровые сертификаты могут в конечном итоге подписать вредоносный код, сказал Ботезату. В этом контексте активная проверка для отзыва сертификатов особенно важна, потому что это единственное смягчение, доступное в случае компрометации сертификата, сказал он.

Пользователи, которым требуется Java в браузере на ежедневной основе, должны рассмотреть возможность включения проверки отзыва сертификатов для улучшения защиты от атак с использованием украденных сертификатов, сказал Адам Гоудяк, основатель польской исследовательской фирмы Security Explorations, по электронной почте. Исследователи по исследованиям в области безопасности обнаружили и сообщили о более 50 уязвимостях Java за последний год.

Хотя пользователям необходимо вручную включить эти параметры отзыва сертификатов, многие из них, вероятно, не будут этого делать, учитывая, что они даже не устанавливают обновления для системы безопасности, сказал Кубек, Исследователь надеется, что Oracle автоматически включит эту функцию в будущем обновлении.