Cybercriminals käyttävät digitaalisesti allekirjoitettuja Java-hyökkäyksiä käyttäjien huijaamiseen

Turvallisuustutkijat varoittavat, että tietoverkkorikolliset ovat alkaneet käyttää digitaalisia sertifikaatteja käyttäen allekirjoitettuja Java-hyökkäyksiä, jotta käyttäjät saattavat joutua sallimaan haitallisen koodin selainten käytön.

Signattu Java-hyökkäys löydettiin maanantaina verkkosivu, joka kuuluu Chemnitzin teknilliseen yliopistoon Saksassa, joka oli tartunnan saaneen web exploit -työkalupaketin nimeltään g01pack, tietoturva-tutkija Eric Romang sanoi tiistaina blogikirjoituksesta.

"Se on varmasti go01-paketti", Jindrich Kubec, virustentorjunta-alan myyjä Avast, sanoi sähköpostitse.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Ei ollut heti selvää, onko tämä hyödynnettävä uusi haavoittuvuus vai aiempi Java-virhe, joka on jo korjattu. Oracle julkaisi maanantaina uudet Java-tietoturvapäivitykset käsittelemään kahta kriittistä haavoittuvuutta, joista yksi käytti hyökkääjiä aktiivisesti.

Java-hyökkäykset on perinteisesti toimitettu allekirjoittamattomina appletoina - Java-verkkosovelluksina. Tällaisten applettien suorittaminen on automatisoitu vanhemmissa Java-versioissa, mikä sallii hakkereiden käynnistää ladattavien hyökkäysten, jotka ovat täysin uhrien läpinäkyviä.

Varmenteiden peruuttamisen tarkistusasetukset Java 7: ssä

Tammikuun julkaisusta lähtien Java 7 Update 11: n oletusarvon mukaiset suojausasetukset on asetettu korkealle, mikä kehottaa käyttäjää vahvistamaan, ennen kuin appletit voivat käyttää selaimissa, riippumatta siitä, onko ne digitaalisesti allekirjoitettu vai ei.

allekirjoitettujen hyökkäysten käyttäminen allekirjoittamattomien toimijoiden kohdalla hyödyttää hyökkääjiä, koska Java-ohjelmien vahvistusvalintaikkunat ovat näissä kahdessa tapauksessa huomattavasti erilaiset. Valitsemattomat Java-sovelmien valintaikkunat ovat nimeltään "Security Warning".

Digitaalinen allekirjoitus on tärkeä osa käyttäjille, joilla he voivat luottaa koodisi, virustentorjunta-alan toimittajan Bitdefenderin johtava e-uhka-analysaattori Bogdan Botezatu. Allekirjoitettu koodi on vahvempi valinta ja vähemmän uhkaava kuin allekirjoittamattomien koodien tapauksessa.

"Lisäksi Java itse käsittelee allekirjoitetun ja allekirjoittamattoman koodin eri tavalla ja noudattaa tietoturvavaatimuksia asianmukaisesti", Botezatu sanoi. Jos Java-suojausasetukset ovat esimerkiksi "erittäin korkeat", allekirjoittamattomat sovellukset eivät toimi lainkaan, mutta allekirjoitetut sovellukset toimivat, jos käyttäjä vahvistaa toiminnon. Hyödyntäjät voivat käyttää koodin allekirjoitusta vain hyökkääjiä haavoittuvassa appletissa kohdennetusta järjestelmästä, hän totesi.

Esimerkki tietoturvaviestistä allekirjoitetuille Java-sovelmille Java 7 -päivityksessä 17

Tämä uusi Java-hyödyntäminen on tuonut esiin se, että Java ei tarkista digitaalisten varmennusten peruutuksia oletuksena.

Tutkijoiden maanantaina löydetty hyökkäys allekirjoitettiin digitaalisella varmenteella, joka on todennäköisesti varastettu. Go Daddy on myöntänyt sertifikaatin Clearesult Consulting -yritykselle, jonka kotipaikka on Austin, Texas, ja sen jälkeen hänet kumottiin 7.12.2012.

Todistuksen peruuttamista voidaan soveltaa takautuvasti, eikä ole selvää, milloin täsmälleen Go Daddy merkitsi peruuttamista koskeva todistus. Kuitenkin 25. helmikuuta, kolme päivää ennen kuin vanhin näistä hyväksikäytöstä havaittiin, todistus oli jo luettelossa peruutettu yhtiön julkaisemassa sertifikaatin sulkulistalla, Kubec sanoi. Tästä huolimatta Java näkee sertifikaatin olevan voimassa.

Java-ohjauspaneelin "Lisäasetukset" -välilehdellä "Lisäasetusten suojausasetukset" -luokassa on kaksi vaihtoehtoa, jotka ovat nimeltään "Tarkista varmenteet, jotka on peruutettu käyttämällä varmenneilmoituksia (CRL)) "Ja" Online sertifikaatti validointi "- toinen vaihtoehto käyttää OCSP (Online Certificate Status Protocol). Molemmat vaihtoehdot ovat oletusarvoisesti pois käytöstä.

Oraclella ei ole tällä hetkellä mitään kommenttia tästä asiasta, Oraclen PR-virasto Yhdistyneessä kuningaskunnassa totesi tiistaina sähköpostitse.

"Varmuus turvallisuuden lopettamisesta mukavuussyistä on vakava turvallisuusvalvonta, varsinkin kun Java on ollut kohdennetuin kolmannen osapuolen pala ohjelmistoa marraskuusta 2012 lähtien ", Botezatu sanoi. Oracle ei kuitenkaan ole yksin tässä, tutkija sanoi, huomauttaen, että Adobe lähtee Adobe Reader 11: sta tärkeällä hiekkalaatamekanismilla, joka on oletusarvoisesti poistettu käytöstä käytettävyyden vuoksi.

Sekä Botezatu että Kubec ovat vakuuttuneita siitä, että hyökkääjät alkavat yhä useammin käyttää digitaalisesti allekirjoitettua Java- Hyökkäykset ohittavat Javain uudet tietoturva-rajoitukset helpommin.

Tietoturvayhtiö Bit9 hiljattain paljasti, että hakkerit heikensivät yhtä sen digitaalisista varmenteista ja käyttivät sitä allekirjoittamaan haittaohjelmia. Viime vuonna hakkerit tekivät samoin Adoben vaarantuneen digitaalisen sertifikaatin kanssa.

Nämä tapahtumat ja tämä uusi Java-hyväksikäyttö ovat osoitus siitä, että voimassa olevat digitaaliset varmenteet voivat päätyä haittaohjelmien allekirjoittamiseen, Botezatu sanoi. Tässä yhteydessä todentamisilmoitusten tarkistaminen on erityisen tärkeää, koska se on ainoa mahdollinen lieventäminen varmenteen kompromissin tapauksessa.

Käyttäjät, jotka vaativat Javaa selaimessa päivittäin, pitäisi harkita, että sertifikaattien peruuttamisen tarkistaminen olisi parempaa suojaavat varastettuja varmenteita hyödyntäviä hyökkäyksiä vastaan, kertoi sähköpostitse sähköpostillaan Adam Gowdiak, puolalaisen haavoittuvuuden tutkimusyrityksen Security Explorationsin perustaja. Turvallisuustutkimukset tutkijat ovat löytäneet ja ilmoittaneet kuluneen vuoden aikana yli 50 Java-haavoittuvuutta.

Vaikka käyttäjät saisivat nämä varmennusten peruuttamisvaihtoehdot käyttöön manuaalisesti, monet heistä eivät todennäköisesti tee sitä, koska he eivät edes asentaneet tietoturvapäivityksiä.. Tutkija toivoo, että Oracle ottaa ominaisuuden käyttöön automaattisesti tulevassa päivityksessä.