OWASP insecure deserialization explained with examples
Beveiligingsonderzoekers waarschuwen dat cybercriminelen Java-exploits zijn gaan gebruiken die zijn ondertekend met digitale certificaten om gebruikers te misleiden zodat kwaadaardige code in browsers kan worden uitgevoerd.
Maandelijks werd een ondertekend Java-misbruik ontdekt website behorende tot de Chemnitz University of Technology in Duitsland die geïnfecteerd was met een web-exploit toolkit genaamd g01pack, beveiligingsonderzoeker Eric Romang zei dinsdag in een blogpost.
"Het is absoluut go01 pack," Jindrich Kubec, directeur van threat intelligence bij antivirus-leverancier Avast, zei via e-mail. Het eerste voorbeeld van deze ondertekende Java-exploit werd gedetecteerd op 28 februari, zei hij.
[Lees meer: Hoe malware van uw Windows-pc te verwijderen]Het was niet meteen duidelijk of deze exploit een nieuwe kwetsbaarheid target of een oudere Java-fout die al is gepatcht. Oracle heeft maandag nieuwe beveiligingsupdates voor Java uitgebracht om twee kritieke kwetsbaarheden aan te pakken, waarvan er één actief door aanvallers werd uitgebuit.
Java-exploits worden van oudsher geleverd als niet-ondertekende applets - Java-webtoepassingen. De uitvoering van dergelijke applets was vroeger in oudere Java-versies geautomatiseerd, waardoor hackers drive-by downloadaanvallen konden lanceren die volledig transparant waren voor de slachtoffers.
Vanaf de januari-release van Java 7 Update 11 zijn de standaardbeveiligingsfuncties voor webgebaseerde Java-inhoud te hoog ingesteld, zodat gebruikers worden gevraagd om bevestiging voordat applets in browsers mogen worden uitgevoerd, ongeacht of ze digitaal ondertekend zijn of niet.
Dat gezegd hebbende, het gebruik van ondertekende exploits over niet-ondertekende biedt voordelen voor aanvallers, omdat de bevestigingsdialogen die Java in de twee gevallen laat zien, aanzienlijk verschillen. De dialoogvensters voor niet-ondertekende Java-applets hebben de titel 'Beveiligingswaarschuwing'.
Digitale ondertekening is een belangrijk onderdeel van het garanderen van gebruikers dat ze op uw code kunnen vertrouwen, zei Bogdan Botezatu, een senior e-threat-analist bij antivirusleverancier Bitdefender, via e-mail. Het bevestigingsvenster dat wordt weergegeven voor de ondertekende code is veel discreter en minder bedreigend dan het bericht dat wordt weergegeven in het geval van een niet-ondertekende code, zei hij.
"Daarnaast verwerkt Java zelf ondertekende en niet-ondertekende code anders en handhaaft beveiligingsbeperkingen op passende wijze," Botezatu zei. Als de Java-beveiligingsinstellingen bijvoorbeeld zijn ingesteld op 'zeer hoog', worden niet-ondertekende applets helemaal niet uitgevoerd, terwijl ondertekende applets worden uitgevoerd als de gebruiker de actie bevestigt. In bedrijfsomgevingen waar zeer hoge Java-beveiligingsinstellingen worden afgedwongen, is het ondertekenen van code de enige manier voor aanvallers om een kwaadaardige applet op een gericht systeem uit te voeren, zei hij.
Deze nieuwe Java-exploit heeft ook het feit aan het licht gebracht dat Java niet standaard controleert op intrekkingen van digitale certificaten.
De door maandag ontdekte exploit is ondertekend met een digitaal certificaat dat waarschijnlijk is gestolen. Het certificaat is uitgegeven door Go Daddy aan een bedrijf met de naam Clearesult Consulting uit Austin, Texas, en is vervolgens ingetrokken met een datum van 7 december 2012.
Herroepingen van certificaten kunnen met terugwerkende kracht worden toegepast en het is niet duidelijk wanneer Go Daddy precies de vlag heeft gemarkeerd certificaat voor intrekking. Op 25 februari, drie dagen voordat de oudste steekproef van deze exploit werd gedetecteerd, werd het certificaat echter al vermeld als ingetrokken in de herroepingslijst voor certificaten die door het bedrijf werd gepubliceerd, zei Kubec. Desondanks beschouwt Java het certificaat als geldig.
Op het tabblad "Geavanceerd" van het Java-configuratiescherm, onder de categorie "Geavanceerde beveiligingsinstellingen", zijn er twee opties "Check certificates for revocation using Certificate Revocation Lists" (CRL's)) "En" Online certificaatvalidatie inschakelen "- de tweede optie gebruikt OCSP (Online Certificate Status Protocol). Beide opties zijn standaard uitgeschakeld.
Oracle heeft op dit moment geen enkele opmerking over dit probleem, zei het PR-agentschap van Oracle in het VK dinsdag per e-mail.
"Het opofferen van veiligheid is een serieus beveiligingsopzicht, vooral omdat Java het meest gerichte stuk van een derde partij is van software sinds november 2012, "zei Botezatu. Oracle staat er echter niet alleen voor, aldus de onderzoeker, opmerkend dat Adobe Adobe Reader 11 met een belangrijk sandbox-mechanisme standaard uitschakelt omwille van de bruikbaarheid.
Zowel Botezatu als Kubec zijn ervan overtuigd dat aanvallers steeds vaker digitaal ondertekende Java gaan gebruiken exploits om de nieuwe veiligheidsrestricties van Java gemakkelijker te omzeilen.
Bit9 heeft recent onthuld dat hackers een van de digitale certificaten hebben aangetast en het hebben gebruikt om malware te ondertekenen. Vorig jaar deden hackers hetzelfde met een gecompromitteerd digitaal certificaat van Adobe.
Die incidenten en deze nieuwe Java-exploit zijn het bewijs dat geldige digitale certificaten uiteindelijk kwaadwillige code kunnen ondertekenen, zei Botezatu. In deze context is het actief controleren van certificaatverwijderingen vooral belangrijk omdat het de enige beperking is die beschikbaar is in het geval van een compromis met het certificaat.
Gebruikers die Java dagelijks in een browser nodig hebben, kunnen overwegen om de certificaatintrekkingscontrole beter in te schakelen beschermen tegen aanvallen van gestolen certificaten, zei Adam Gowdiak, de oprichter van het Poolse onderzoeksbureau Security Explorations, via e-mail. Beveiligingsverkenningen onderzoekers hebben het afgelopen jaar meer dan 50 Java-kwetsbaarheden gevonden en gerapporteerd.
Hoewel gebruikers deze opties voor herroeping van certificaten handmatig moeten inschakelen, zullen veel van hen dit waarschijnlijk niet doen omdat ze zelfs beveiligingsupdates niet installeren, zei Kubec.. De onderzoeker hoopt dat Oracle de functie automatisch zal inschakelen in een toekomstige update.
Microsoft probeert u te dwingen om Bing te gebruiken toeval? Microsoft heeft de gewoonte om het gemakkelijker te maken om zijn accessoires te gebruiken - of moeilijk om anderen te gebruiken.
Microsoft kent echt marketing. Maar de laatste (onbedoelde) poging om de nieuwe zoekmachine Bing te promoten, is misschien over de schreef gegaan. Volgens rapporten dwong een fout in Internet Explorer 6 Bing op gebruikers als de standaardzoekmachine. Zelfs toen gebruikers hun voorkeuren handmatig wijzigden, kwam Bing weer tevoorschijn.
Microsoft: cybercriminelen gebruiken niet-gepatched IIS-probleem
Microsoft zei dat criminelen een ongepatcht foutje in zijn IIS-serversoftware gaan misbruiken.
Hackers brengen Adobe-server in gevaar, gebruiken deze om kwaadwillende bestanden digitaal te ondertekenen
Adobe is van plan een certificaat voor ondertekening van codes in te trekken nadat hackers er één hebben gecompromitteerd van de interne servers van het bedrijf en gebruikte het om twee schadelijke hulpprogramma's digitaal te ondertekenen.