[ Update: 10/01/2013 ]
- O Java começa muito mal o ano, com um 0day em ativa exploração e sem patch da Oracle para todas as versões do Java 7 (e 6.10+). Desabilite (ou desinstale) o Java imediatamente do seu browser. Se você precisa dele (para usar o Internet Banking por exemplo), separe um browser específico para isto. Para usuários de Windows, as dicas presentes no artigo "A saga de se manter seguro usando Windows" continuam valendo.
- O patch está disponível no site da Oracle (em 13/01/2013 - quatro meses depois do conhecimento da vulnerabilidade pela empresa).
- Ainda em dúvida? Saiba que o Java é responsável por mais de metade (56%) de todos os ataques relacionados à softwares vulneráveis.
- Os exploits que se aproveitam da falha já estão presentes em vários Exploit Kits e também está disponível no Metasploit Framework.
- A melhor análise sobre os exploits disponível até o momento é da Immunity (PDF).
- Um artigo recente da Kaspersky divulgou que servidores comprometidos (incluindo .br), estão redirecionando vítimas para instalações do exploit kit BlackHole.
- A Apple bloqueiou o Java no OSX e o Firefox está bloqueando o plugin.
[ Update: 30/08/2012 ]
A Oracle lançou um patch "out-of-band" e corrigiu a vulnerabilidade do Java. Não perca tempo e atualize-se agora: http://www.oracle.com/technetwork/java/javase/downloads/index-jsp-138363.html
Se você administra uma rede com muitos endpoints, comece logo para não se arrepender depois, o número de ataques utilizando esta falha está crescendo exponencialmente.
[ Update: 27/08/2012 ]
O Java continua sendo um dos maiores vilões da segurança dos endpoints na atualidade. A falha publicada ontem afeta as versões do Java 7 (do update 0 até o 6).
Se você não precisa do Java, desabilite o plugin/extensão relacionada, e a ative apenas para acessar os sites que necessitam dele habilitado para funcionar. Uma alternativa de fácil utilização para o Firefox é o NoScript. Nas versões mais recentes do Chrome a execução do Java é autorizada por sessão ou site, o que é uma boa medida de segurança.
Para verificar se a versão do Java que você usa neste browser está vulnerável, acesse este link: http://www.isjavaexploitable.com/. Para verificar o estado de correção de vulnerabilidades de todas as suas aplicações windows, use este link: http://secunia.com/products/consumer/osi/online/
Seguem os passos publicados pelo US-CERT sobre como desabilitar o plugin do Java em diferentes navegadores:
- Apple Safari: How to disable the Java web plug-in in Safari
- Mozilla Firefox: How to turn off Java applets
- Google Chrome: See the "Disable specific plug-ins" section of the Chrome Plug-ins documentation.
- Microsoft Internet Explorer: Change the value of the UseJava2IExplorer registry key to 0. Depending on the versions of Windows and the Java plug-in, the key can be found in these locations:
- HKLM\Software\JavaSoft\Java Plug-in\{version}\UseJava2IExplorer
- HKLM\Software\Wow6432Node\JavaSoft\Java Plug-in\{version}\UseJava2IExplorer
- The Java Control Panel (javacpl.exe) does not reliably configure the Java plug-in for Internet Explorer. Instead of editing the registry, it is possible to run javacpl.exe as Administrator, navigate to the Advanced tab, Default Java for browsers, and use the space bar to de-select the Microsoft Internet Explorer option.
O exploit kit Blackhole já está explorando a falha, como de costume (ver updates mais antigos abaixo). O famoso e gratuito toolkit de exploração Metasploit também foi atualizado com o ataque.
Vale lembrar que além de usuários Windows, a ameaça também afeta usuários de MacOS e Linux. Vai ser uma semana de trabalho fácil para os pentesters. Uma interessante análise do uso deste tipo de exploit pode ser vista em "Oracle Java 0day and the Myth of a Targeted Attack"
O caso é também de interesse para mostrar como um "0day" (que é chamado assim por todos que AINDA não tinham conhecimento da vulnerabilidade - o que não inclui um grupo seleto de compradores deste mercado) rapidamente se torna disponível aos "blackhats" (BlackHole) e "gray"/"white-hats" (Metasploit).
As velhas dicas contidas em "A saga de se manter seguro usando Windows" continuam valendo, especialmente no tocante ao controle da atualização dos programas (patch management). O Secunia PSI continua sendo uma boa opção.
Outras informações interessantes publicadas hoje sobre o assunto:
[ Update: 19/03/2012 ]
A vulnerabilidade JAVA CVE-2011-3544 continua exercendo um papel fundamental em diferentes campanhas de ataque analisadas recentemente - segue uma breve compilação de cases abaixo. (obrigado ao Alberto Fabiano pela dica de alguns links):
1 - F-Secure: Mac Malware at the Moment
http://www.f-secure.com/weblog/archives/00002330.html
2 - ESet: Drive-by FTP: a new view of CVE-2011-3544
http://blog.eset.com/2012/03/17/drive-by-ftp-a-new-view-of-cve-2011-3544
3 - TrendMicro: NGOs Targeted with Backdoors
http://blog.trendmicro.com/human-rights-organizations-possible-new-targets/
4 - GFI: Online Criminals Bank on Skype Vouchers to Spread Exploit
http://www.gfi.com/blog/online-criminals-bank-on-skype-vouchers-to-spread-exploit/
5 - ThreatPost: Rare RAM-Based Malware Attacks Visitors of Russian Information Sites
http://threatpost.com/en_us/blogs/rare-ram-based-malware-attacks-visitors-russian-information-sites-031912
6 - Mac OS X exploit and Trojan horse monitoring users via webcam
http://news.drweb.com/show/?i=2262&lng=en&c=5
7 - SecureList: A unique 'fileless' bot attacks news site visitors
http://www.securelist.com/en/blog/687/A_unique_fileless_bot_attacks_news_site_visitors
[ Update: 28/12/2011 ]
Como imaginado o CVE 2011-3544 já é desde ontem o principal vetor entre as infecções "drive-by-download" no Brasil.
Uma imagem vale mais do que mil palavras:
Fonte: Assolini da Kaspersky via Twitter [1, 2]
[ Update: 01/12/2011 ]
I) Problemas com o Java, mais uma vez:
Alguns "exploit kits" já continham o exploit "Java Rhino" (CVE 2011-3544) e o nível de sucesso de sua execução em diferentes versões de S.O. e browsers é bem alto - veja um exemplo de console do exploit kit "BlackHole" (imagem)
Pra piorar a situação, ontem foi disponibilizado para qualquer um baixar (projeto metasploit) um módulo de exploração desta vulnerabilidade Java (ou seja: cross-platform & cross-browser).
Código (Metasploit - Ruby): http://dev.metasploit.com/redmine/projects/framework/repository/revisions/f26f6da74b4e6d87d2c59034b85dfb1ae0d1b1d7/entry/modules/exploits/multi/browser/java_rhino.rb
Mas, vulnerabilidades são descobertas a todo minuto, exploits são escritos a toda hora, porque dar destaque a esta específica? Continue lendo..
Logo que saiu, eu testei em Linux, Mac e Windows 7 - funcionou em todos sem exceção (Firefox, Chrome, IE, Safari)!
Como vocês podem ver no post original (de 02 Agosto) abaixo, a elevação de privilégios explorando vulnerabilidades Java é bem mais simples de ser obtida e esta é uma mina de ouro para ataques de Drive-by Download, entre outros..
A coisa é mais complicada ainda porque o usuário não precisa interagir em absolutamente nada durante o processo de exploração da vulnerabilidade. Some a isto a realidade da dificuldade de manter todas as instalações de JAVA "up-to-date" em uma empresa, e você tem um cenário bem negro pra lidar..
II) Cenário provável nos próximos dias:
Quanto tempo até que grande portais e provedores redirecionem [WEB ou DNS invadido ou envenenado] milhares de usuários de internet banking (ou até hotmail.com, google.com como aconteceu recentemente) pruma página com um Drive-By Download (iframe invisível no site, por exemplo) com este exploit Java - multi-browser e multi-plataforma?
Minha opinião: não demora e vai ser feio.. =/
III) Para os que só acreditam vendo:
Vídeo 1) Original: www.youtube.com/watch?v=4xI9USYl8P0 (IE / XP)
Vídeo 2) Armitage: www.youtube.com/watch?v=cXctDpaNIjw (Firefox, Internet Explorer, Safari - Windows, MacOS X, Linux)
IV) O que você pode fazer quanto a isto?
Segundo a Microsoft, o cliente Java hoje é responsável por praticamente a metade das explorações a máquina Windows. Ou seja, antes de mais nada - avalie se você realmente precisa do Java.. assim como do Adobe Reader.. =) Pelo altíssimo grau de exploração de ambos, seriam "um mal desnecessário"?
Se você é usuário Linux ou Mac - tenha certeza de sempre fazer update das aplicações assim que as correções são lançadas.
Mas - como garantir que você tem as últimas versões do Java e de outros aplicativos no(s) seu(s) computador(es) Windows?
Software (já recomendado aqui várias vezes):
Secunia PSI - http://secunia.com/vulnerability_scanning/personal/
Se você acha que não precisa, faça o teste online e veja quantas aplicações você vulneráveis (apenas aguardando a exploração..) no seguinte link:
OSI (Online): http://secunia.com/vulnerability_scanning/online/
Mais informações:
[ Post Original: 02/08/2011 ]
Entre 2009 e 2010 eu publiquei e atualizei um artigo entitulado "A saga de se manter seguro usando Windows", contendo dicas para usuários finais (usando ferramentas gratuitas).
As dicas da época continuam valendo - assim como a recomendação do Secunia para facilitar a aplicação dos patches necessários - porém infelizmente a facilidade de exploração de aplicações vulneráveis não deixa de ficar maior a cada ano..
Hoje são tantos os exploit kits disponíveis no mercado que análises comparativas como a publicada pela Kaspersky recentemente não chegam a ser novidade, mas alguns detalhes merecem destaque:
Os exploit kits mais famosos (BlackHole, NeoSploit, Phoenix, Incognito e Eleonore) objetivam atingir usuários com uma série de exploits sucessivos durante a sua navegação (em um ataque conhecido como Drive-by Download), e por isto exploram principalmente vulnerabilidades de navegadores e seus plugins. São exploradas vulnerabilidades do IE, Firefox, Chrome, Flash e Java, por exemplo. Porém as vulnerabilidades do JAVA são as mais utilizadas nos exploit kits.. Mas, por que?
Confiram o caminho necessário para exploração de cada aplicação a partir da imagem abaixo (publicada no artigo da Kaspersky linkado acima): está esclarecida a preferência por vulnerabilidades no JAVA?
Com a melhoria na proteção de execução em memória no Windows, principalmente com as "barreiras" DEP e ALSR - o atacante tem mais trabalho para conseguir executar instruções maliciosas a partir de um processos em execução que possuam estas proteções. Para um detalhamento de como estes bypasses funcionam, sugiro um artigo do Ronaldo do blog "Crimes Cinernéticos".
Vale lembrar que além de usuários Windows, a ameaça também afeta usuários de MacOS e Linux. Vai ser uma semana de trabalho fácil para os pentesters. Uma interessante análise do uso deste tipo de exploit pode ser vista em "Oracle Java 0day and the Myth of a Targeted Attack"
O caso é também de interesse para mostrar como um "0day" (que é chamado assim por todos que AINDA não tinham conhecimento da vulnerabilidade - o que não inclui um grupo seleto de compradores deste mercado) rapidamente se torna disponível aos "blackhats" (BlackHole) e "gray"/"white-hats" (Metasploit).
As velhas dicas contidas em "A saga de se manter seguro usando Windows" continuam valendo, especialmente no tocante ao controle da atualização dos programas (patch management). O Secunia PSI continua sendo uma boa opção.
Outras informações interessantes publicadas hoje sobre o assunto:
- Primeiro post sobre o assunto, da FireEye:
- Entrada da vulnerabilidade no US-CERT:
- Dicas de como desabilitar o java no seu browser:
- Patch não oficial:
- Detalhes técnicos:
[ Update: 19/03/2012 ]
A vulnerabilidade JAVA CVE-2011-3544 continua exercendo um papel fundamental em diferentes campanhas de ataque analisadas recentemente - segue uma breve compilação de cases abaixo. (obrigado ao Alberto Fabiano pela dica de alguns links):
1 - F-Secure: Mac Malware at the Moment
http://www.f-secure.com/weblog/archives/00002330.html
2 - ESet: Drive-by FTP: a new view of CVE-2011-3544
http://blog.eset.com/2012/03/17/drive-by-ftp-a-new-view-of-cve-2011-3544
3 - TrendMicro: NGOs Targeted with Backdoors
http://blog.trendmicro.com/human-rights-organizations-possible-new-targets/
4 - GFI: Online Criminals Bank on Skype Vouchers to Spread Exploit
http://www.gfi.com/blog/online-criminals-bank-on-skype-vouchers-to-spread-exploit/
5 - ThreatPost: Rare RAM-Based Malware Attacks Visitors of Russian Information Sites
http://threatpost.com/en_us/blogs/rare-ram-based-malware-attacks-visitors-russian-information-sites-031912
6 - Mac OS X exploit and Trojan horse monitoring users via webcam
http://news.drweb.com/show/?i=2262&lng=en&c=5
7 - SecureList: A unique 'fileless' bot attacks news site visitors
http://www.securelist.com/en/blog/687/A_unique_fileless_bot_attacks_news_site_visitors
[ Update: 28/12/2011 ]
Como imaginado o CVE 2011-3544 já é desde ontem o principal vetor entre as infecções "drive-by-download" no Brasil.
Uma imagem vale mais do que mil palavras:
Fonte: Assolini da Kaspersky via Twitter [1, 2]
[ Update: 01/12/2011 ]
Java.. um mal desnescesário?
I) Problemas com o Java, mais uma vez:
Alguns "exploit kits" já continham o exploit "Java Rhino" (CVE 2011-3544) e o nível de sucesso de sua execução em diferentes versões de S.O. e browsers é bem alto - veja um exemplo de console do exploit kit "BlackHole" (imagem)
Pra piorar a situação, ontem foi disponibilizado para qualquer um baixar (projeto metasploit) um módulo de exploração desta vulnerabilidade Java (ou seja: cross-platform & cross-browser).
Código (Metasploit - Ruby): http://dev.metasploit.com/redmine/projects/framework/repository/revisions/f26f6da74b4e6d87d2c59034b85dfb1ae0d1b1d7/entry/modules/exploits/multi/browser/java_rhino.rb
Mas, vulnerabilidades são descobertas a todo minuto, exploits são escritos a toda hora, porque dar destaque a esta específica? Continue lendo..
Logo que saiu, eu testei em Linux, Mac e Windows 7 - funcionou em todos sem exceção (Firefox, Chrome, IE, Safari)!
Como vocês podem ver no post original (de 02 Agosto) abaixo, a elevação de privilégios explorando vulnerabilidades Java é bem mais simples de ser obtida e esta é uma mina de ouro para ataques de Drive-by Download, entre outros..
A coisa é mais complicada ainda porque o usuário não precisa interagir em absolutamente nada durante o processo de exploração da vulnerabilidade. Some a isto a realidade da dificuldade de manter todas as instalações de JAVA "up-to-date" em uma empresa, e você tem um cenário bem negro pra lidar..
II) Cenário provável nos próximos dias:
Quanto tempo até que grande portais e provedores redirecionem [WEB ou DNS invadido ou envenenado] milhares de usuários de internet banking (ou até hotmail.com, google.com como aconteceu recentemente) pruma página com um Drive-By Download (iframe invisível no site, por exemplo) com este exploit Java - multi-browser e multi-plataforma?
Minha opinião: não demora e vai ser feio.. =/
III) Para os que só acreditam vendo:
Vídeo 1) Original: www.youtube.com/watch?v=4xI9USYl8P0 (IE / XP)
Vídeo 2) Armitage: www.youtube.com/watch?v=cXctDpaNIjw (Firefox, Internet Explorer, Safari - Windows, MacOS X, Linux)
IV) O que você pode fazer quanto a isto?
Segundo a Microsoft, o cliente Java hoje é responsável por praticamente a metade das explorações a máquina Windows. Ou seja, antes de mais nada - avalie se você realmente precisa do Java.. assim como do Adobe Reader.. =) Pelo altíssimo grau de exploração de ambos, seriam "um mal desnecessário"?
Se você é usuário Linux ou Mac - tenha certeza de sempre fazer update das aplicações assim que as correções são lançadas.
Mas - como garantir que você tem as últimas versões do Java e de outros aplicativos no(s) seu(s) computador(es) Windows?
Software (já recomendado aqui várias vezes):
Secunia PSI - http://secunia.com/vulnerability_scanning/personal/
Se você acha que não precisa, faça o teste online e veja quantas aplicações você vulneráveis (apenas aguardando a exploração..) no seguinte link:
OSI (Online): http://secunia.com/vulnerability_scanning/online/
Mais informações:
- http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html
- http://eromang.zataz.com/2011/11/30/cve-2011-3544-java-applet-rhino-script-engine-metasploit-demo/
- http://krebsonsecurity.com/2011/11/public-java-exploit-amps-up-threat-level/
- http://allthingsd.com/
20111202/why-today-is-a-very- good-day-to-update-java-on- your-computer/ - http://www.darkreading.com/vulnerability-management/167901026/security/attacks-breaches/232200604/the-dark-side-of-java.html
- https://community.rapid7.com/community/metasploit/blog/2011/11/30/test-results-for-javarhino
[ Post Original: 02/08/2011 ]
Entre 2009 e 2010 eu publiquei e atualizei um artigo entitulado "A saga de se manter seguro usando Windows", contendo dicas para usuários finais (usando ferramentas gratuitas).
As dicas da época continuam valendo - assim como a recomendação do Secunia para facilitar a aplicação dos patches necessários - porém infelizmente a facilidade de exploração de aplicações vulneráveis não deixa de ficar maior a cada ano..
Hoje são tantos os exploit kits disponíveis no mercado que análises comparativas como a publicada pela Kaspersky recentemente não chegam a ser novidade, mas alguns detalhes merecem destaque:
Os exploit kits mais famosos (BlackHole, NeoSploit, Phoenix, Incognito e Eleonore) objetivam atingir usuários com uma série de exploits sucessivos durante a sua navegação (em um ataque conhecido como Drive-by Download), e por isto exploram principalmente vulnerabilidades de navegadores e seus plugins. São exploradas vulnerabilidades do IE, Firefox, Chrome, Flash e Java, por exemplo. Porém as vulnerabilidades do JAVA são as mais utilizadas nos exploit kits.. Mas, por que?
Confiram o caminho necessário para exploração de cada aplicação a partir da imagem abaixo (publicada no artigo da Kaspersky linkado acima): está esclarecida a preferência por vulnerabilidades no JAVA?
E o seu Java, está atualizado? Confira aqui no site da Secunia.
Com a melhoria na proteção de execução em memória no Windows, principalmente com as "barreiras" DEP e ALSR - o atacante tem mais trabalho para conseguir executar instruções maliciosas a partir de um processos em execução que possuam estas proteções. Para um detalhamento de como estes bypasses funcionam, sugiro um artigo do Ronaldo do blog "Crimes Cinernéticos".