Vídeo: Deserialization: what, how and why [not] - Alexei Kojenov - AppSecUSA 2018 (De novembre 2024)
Amb la recent explotació de Java de zero dies, bategem el tambor "Actualitzar Java ara" i reproduïm el disc "Desactivar Java per complet" al desfilat SecurityWatch . Si no n'hi hagués prou, les notícies recents que la campanya de ciberatacs de l'Octubre Rojo va fer ús d'una explotació Java és un motiu més per deixar-se pas.
Seculert el va descobrir el vector d’atac Java, que es va anunciar dimarts al bloc de la companyia. Si bé molts atacants fan ús de les explotacions de Java, aquesta difereix del que abans es coneixia sobre Octubre Rojo. A l’informe inicial de la campanya de Kaspersky Labs, Red October es va caracteritzar per confiar en atacs de correu electrònic específics altament dirigits amb fitxers infectats.
"En vector, els atacants van enviar un correu electrònic amb un enllaç incrustat a una pàgina web de PHP especialment elaborada", escriu Seculert. "Aquesta pàgina web va explotar una vulnerabilitat a Java (CVE-2011-3544), i en segon pla va descarregar i va executar el programari maliciós automàticament."
No és una nova explotació
És important tenir en compte que l'atac de Java usat per Red October no és l'explotació del dia zero que hem cobert. De fet, Seculert escriu que aquesta part de l’atac de Red October es va escriure al voltant del febrer de 2012, mentre que l’explotació que utilitza va quedar pegada l’octubre de 2011. Per això, hauríeu de mantenir el vostre programari pegat i actualitzat.
Després de publicar-se notícies sobre l’aspecte Java de Red October, Kaspersky va publicar un seguiment amb més informació. "Sembla que aquest vector no va ser molt utilitzat pel grup", escriu Kaspersky. "Quan vam descarregar el php responsable de donar servei a l'arxiu de codis malcode '.jar', es va comentar la línia de codi que lliura l'explotació java."
Al intentar caracteritzar aquest aspecte de l’atac, Kaspersky no creu que això indiqui un enfocament diferent d’Octubre Rojo. En canvi, creuen que coincideix amb els atacs metòdics i ben investigats, que són marca comercial d'octubre vermell.
Que significa
"Podríem especular que el grup va lliurar amb èxit la seva càrrega útil contra programari maliciós a la destinació o targetes adequades durant uns dies, i no necessitava més esforços", va escriure ahir Kaspersky. "El que també ens pot dir que aquest grup, que va adaptar i desenvolupar minuciosament el seu conjunt d'eines d'infiltració i recollida a l'entorn de les seves víctimes, va tenir la necessitat de passar a Java de les seves tècniques habituals de pesca submarina a principis de febrer de 2012."
Kaspersky va escriure que diversos aspectes tècnics d’aquest atac difereixen dels altres atacs d’Octubre Rojo, cosa que fa creure a la companyia de seguretat que aquesta explotació s’ha desenvolupat per a un objectiu específic.
És un alleujament escoltar que l’aspecte Java de l’Octubre Rojo no s’utilitzava per orientar-se a un ritme més ampli de víctimes. Si bé aquesta campanya d’atac cibernètic és terrorífica en la seva eficàcia, els seus creadors s’han centrat en objectius governamentals i diplomàtics d’alt perfil i no en usuaris quotidians. Tot i així, també demostra que molts atacs de programari són molt coneguts pels atacants, que aprofitaran els usuaris mandrosos que eviten les seves actualitzacions.
Per obtenir més informació sobre Max, seguiu-lo a Twitter @wmaxeddy.
