安全研究人员警告,网络犯罪分子已经开始使用与数字证书签名的Java漏洞,以欺骗用户允许恶意代码在浏览器内运行。
星期一关于属于德国Chemnitz技术大学的网站发现的签名Java漏洞利用被称为G01Pack的Web Exploit Toolkit,Security Chinaper Romang周二表示博客文章。
[ 背景:研究人员警告攻击者使用的新Java漏洞利用]
“它绝对是GO01 Pack,”Antivirus Vendor Avast威胁情报总监Jindrich Kubec通过电子邮件表示。他说,在2月28日检测到这个签名的Java Exploit的第一个样本。
如果这一漏洞目标,它不会立即清除,该漏洞目标是已经修补的新漏洞或较旧的Java缺陷。Oracle于周一发布了新的Java安全更新,以解决两个关键漏洞,其中一个是攻击者积极利用的。
传统上,Java Expoits传统上被交付为无符号小程序 - Java Web应用程序。使用此类小程序用于在较旧的Java版本中自动化,允许黑客启动逐行的驱动器下载攻击对受害者完全透明的攻击。
从1月发布的Java 7更新11开始,基于Web的Java内容的默认安全控件设置为高,提示用户在允许在applet运行在浏览器内部浏览器之前的确认,无论它们是数字签名。
也就是说,使用签名的漏洞对无符号的漏洞确实为攻击者提供了福利,因为Java在两种情况下显示的确认对话框相当不同。无符号Java applet的对话框实际上标题为“安全警告”。
数字签名是保证用户可以信任您的代码的重要组成部分,AntiVirus供应商Bitdefender的高级电子威胁分析师Bogdan Botezatu通过电子邮件表示。他说,为签名代码显示的确认对话框比未签名的代码所示的折扣代码更加离散和威胁。
“另外,java本身以不同的方式处理签名和无符号代码,并适当地强制执行安全限制,”Botezatu表示。例如,如果Java安全设置设置为“非常高,”无符号小程序根本不会运行,而签名的小程序将在用户确认操作时运行。在强制高速Java安全设置的企业环境中,代码签名可能是攻击者在目标系统上运行恶意小程序的唯一方法。
这种新的Java漏洞利用还借助默认情况下java不检查数字证书revocation。
研究人员发现的漏洞利用与最有可能被盗的数字证书签署了。该证书由Go Daddy向德克萨斯州奥斯汀的Clearesult咨询公司发出,随后于2012年12月7日撤销。
证书撤销可以追溯适用,并且在完全去爸爸被标记的撤销证书时,目前尚不清楚。然而,2月25日,在检测到这一漏洞最古老的样本之前三天,该证书已被列入公司的证书撤销列表中,Kubec表示。尽管如此,Java将证书视为有效。
在Java控制面板的“高级”选项卡上,在“高级安全设置”类别下,有两个名为“使用证书撤销列表(CRL)的撤销证书(CRL)”和“启用在线证书验证” - 第二个选项选项使用OCSP(在线证书状态协议)。默认情况下禁用这两个选项。
Oracle此时Oracle的Pr代理在U.K.周二通过电子邮件表示没有任何关于此问题的评论。
“为方便起见牺牲安全是一个严重的安全监督,特别是由于Java自2012年11月以来一直是最针对性的第三方软件,”Botezatu说。然而,研究人员表示,Oracle并不孤单,并指出Adobe船舶11具有默认情况下禁用的重要沙箱机制,以获得可用性原因。
Botezatu和Kubec都相信,攻击者将越来越开始使用数字签名的Java利用,以便更容易地绕过Java的新安全限制。
安全公司Bit9最近透露,黑客损失了其数字证书之一并使用它来签署恶意软件。去年,黑客与Adobe的受损数字证书相同。
Botezatu说,那些事件和这个新的Java开发者证明了有效的数字证书最终最终可以签署恶意代码。在这方面,积极检查证书呼解尤为重要,因为它是证书妥协的唯一缓解,他说。
在日常浏览器中需要Java的用户应考虑启用证书撤销检查,以更好地防止攻击被盗证书的攻击,通过电子邮件,波兰漏洞研究公司安全探索公司的创始人亚当Gowdiak表示。安全探索研究人员在过去一年发现并报告了50多个Java漏洞。
Kubec表示,虽然用户应该手动启用这些证书撤销选项,但其中许多可能不会这样做,考虑到他们甚至没有安装安全更新。研究人员希望Oracle将在未来的更新中自动打开该功能。