I criminali informatici utilizzano exploit Java firmati digitalmente per ingannare gli utenti

I ricercatori di sicurezza avvertono che i criminali informatici hanno iniziato a utilizzare gli exploit Java firmati con i certificati digitali per indurre gli utenti a consentire l'esecuzione del codice dannoso all'interno dei browser.

Un exploit Java firmato è stato scoperto lunedì su sito web appartenente alla Chemnitz University of Technology in Germania che è stato infettato da un toolkit di exploit Web chiamato g01pack, il ricercatore di sicurezza Eric Romang ha detto martedì in un post del blog.

"È sicuramente go01 pack", Jindrich Kubec, direttore di intelligence delle minacce a il fornitore di antivirus Avast, ha dichiarato via email. Il primo esempio di questo exploit Java firmato è stato rilevato il 28 febbraio, ha detto.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Non è stato immediatamente chiaro se questo exploit ha come obiettivo una nuova vulnerabilità o un difetto Java precedente che è già stato riparato. Lunedì, Oracle ha rilasciato nuovi aggiornamenti di sicurezza Java per affrontare due vulnerabilità critiche, una delle quali è stata sfruttata attivamente dagli aggressori.

Gli exploit Java sono stati tradizionalmente forniti come applet non firmati-applicazioni Web Java. L'esecuzione di tali applet era automatizzata nelle vecchie versioni di Java, che consentiva agli hacker di lanciare attacchi di download drive-by che erano completamente trasparenti alle vittime.

Verifica delle revoche di certificati in Java 7

A partire dalla versione di gennaio di Java 7 Update 11, i controlli di sicurezza predefiniti per il contenuto Java basato sul Web sono impostati su elevati, richiedendo conferma agli utenti prima che le applet possano funzionare all'interno dei browser, indipendentemente dal fatto che siano firmati digitalmente o meno.

Detto questo, l'utilizzo di exploit firmati su quelli non firmati fornisce vantaggi agli autori di attacchi, in quanto le finestre di dialogo di conferma visualizzate da Java nei due casi sono notevolmente diverse. Le finestre di dialogo per le applet Java non firmate sono in realtà intitolate "Security Warning."

La firma digitale è una parte importante per garantire agli utenti di fidarsi del proprio codice, ha detto via email Bogdan Botezatu, analista senior di e-threat presso il fornitore di antivirus Bitdefender. La finestra di conferma visualizzata per il codice firmato è molto più discreta e meno minacciosa di quella visualizzata nel caso di codice non firmato, ha detto.

"Inoltre, Java stesso elabora il codice firmato e non firmato in modo diverso e applica le restrizioni di sicurezza in modo appropriato," Botezatu disse. Ad esempio, se le impostazioni di sicurezza Java sono impostate su "molto alto", le applet non firmate non verranno affatto eseguite, mentre le applet firmate verranno eseguite se l'utente conferma l'azione. Negli ambienti aziendali in cui vengono applicate impostazioni di sicurezza Java molto elevate, la firma del codice potrebbe essere l'unico modo per gli hacker di eseguire un'applet dannosa su un sistema di destinazione, ha affermato.

Esempio di avviso di sicurezza per l'applet Java firmato in Java 7 Update 17

Questo nuovo exploit Java ha anche messo in luce il fatto che Java non controlla le revoche dei certificati digitali per impostazione predefinita.

L'exploit trovato dai ricercatori lunedì è stato firmato con un certificato digitale che molto probabilmente è stato rubato. Il certificato è stato rilasciato da Go Daddy a una società denominata Clearesult Consulting con sede ad Austin, Texas, ed è stato successivamente revocato con una data del 7 dicembre 2012.

Le revoche di certificati possono essere applicate retroattivamente e non è chiaro quando esattamente Go Daddy ha contrassegnato il certificato di revoca. Tuttavia, il 25 febbraio, tre giorni prima che venisse rilevato il campione più vecchio di questo exploit, il certificato era già stato elencato come revocato nell'elenco di revoche di certificati pubblicato dalla società, ha affermato Kubec. Nonostante ciò, Java vede il certificato come valido.

Nella scheda "Avanzate" del pannello di controllo Java, sotto la categoria "Impostazioni di sicurezza avanzate", ci sono due opzioni chiamate "Verifica certificati per revoca tramite elenchi di revoche certificati (CRL) "E" Abilita convalida dei certificati online "- la seconda opzione utilizza OCSP (Online Certificate Status Protocol). Entrambe queste opzioni sono disabilitate per impostazione predefinita.

Oracle non ha alcun commento su questo problema in questo momento, l'agenzia di PR di Oracle nel Regno Unito ha detto martedì via e-mail.

"Sacrificare la sicurezza per comodità è una seria supervisione della sicurezza, soprattutto perché Java è stato il pezzo più mirato di terze parti di software da novembre 2012 ", ha detto Botezatu. Tuttavia, Oracle non è il solo in questo, ha detto il ricercatore, notando che Adobe spedisce Adobe Reader 11 con un meccanismo sandbox importante disabilitato di default per motivi di usabilità.

Sia Botezatu che Kubec sono convinti che gli hacker inizieranno sempre più a utilizzare Java firmato digitalmente exploit per aggirare più facilmente le nuove restrizioni di sicurezza di Java.

La società di sicurezza Bit9 ha recentemente rivelato che gli hacker hanno compromesso uno dei suoi certificati digitali e l'hanno usato per firmare malware. L'anno scorso, gli hacker hanno fatto lo stesso con un certificato digitale compromesso di Adobe.

Questi incidenti e questo nuovo exploit Java sono la prova che certificati digitali validi possono finire per firmare codici maligni, ha detto Botezatu. In questo contesto, la verifica attiva delle revoche dei certificati è particolarmente importante perché è l'unica soluzione disponibile in caso di compromissione del certificato, ha affermato.

Gli utenti che richiedono Java in un browser su base giornaliera dovrebbero prendere in considerazione l'abilitazione del controllo di revoca dei certificati proteggersi dagli attacchi che sfruttano i certificati rubati, ha dichiarato Adam Gowdiak, fondatore della società di ricerche sulla vulnerabilità in Polonia Security Explorations, via e-mail. I ricercatori di Security Explorations hanno rilevato e segnalato oltre 50 vulnerabilità Java nell'ultimo anno.

Mentre gli utenti dovrebbero abilitare manualmente queste opzioni di revoca dei certificati, molti di loro probabilmente non lo faranno considerando che non installano nemmeno gli aggiornamenti di sicurezza, ha detto Kubec. Il ricercatore spera che Oracle accenda automaticamente la funzione in un aggiornamento futuro.