HARD CORE SECURITY LAB

Krytyczny błąd Zero Day obecny w środowisku wykonawczym Sun Java (Java Runtime Environment, JRE) jest już aktywnie wykorzystywany przez crackerów do infekowania komputerów pracujących pod kontrolą systemów z rodziny Windows. Złośliwy kod zdolny do wykorzystania luki został już zauważony między innymi na popularnej witrynie songlyrics.com. Wszyscy internauci korzystający z Javy powinni w najbliższym czasie zachować szczególną ostrożność.

Przypomnijmy, że Tavis Ormandy opublikował niedawno szczegółowe informacje na temat odkrytej przez siebie luki w zabezpieczeniach Java Deployment Toolkit (JDT), za pomocą której odpowiednio spreparowane strony mogą uruchamiać dowolne programy w ramach lokalnego systemu operacyjnego. Możliwe jest więc przykładowo pobranie za pomocą FTP trojana, a następnie jego uruchomienie. JDT znajduje się w pakiecie Javy od Java 6 Update 10, a jego zadaniem jest ułatwienie programistom dystrybucji programów.

Specjaliści z firmy AVG odkryli kod podobny do przykładowego exploitu opublikowanego przez Tavisa na popularnej stronie songlyrics.com. Kod ten pobierany był natomiast z rosyjskiej witryny assetmancomcareers.com (uwaga, witryna ta zawiera złośliwy kod). W wyniku ataku, system internauty zostaje zaatakowany za pomocą oprogramowania Crimepack exploit kit, czyli zbioru narzędzi zdolnych do wykonania wielu rodzajów automatycznych włamań. Oto jak wygląda panel logowania oraz zarządzania systemem Crimepack:
Niemal natychmiastowe wykorzystanie informacji o nowej luce Zero Day do przeprowadzania ataków wymierzonych w internautów nie stanowi zaskoczenia. W tej sytuacji, wszystkie osoby korzystające w swym systemie z technologii Java, powinny zastosować tymczasowe środki zaradcze.

Obecność Javy w naszym systemie możemy zweryfikować pod tym adresem. Jeśli Java jest zainstalowana, przed skutecznym atakiem uchroni nas wprowadzenie modyfikacji zależnych od rodzaju używanej przeglądarki.

W przypadku Internet Explorera należy ustawić killbit dla kontrolki ActiveX obsługującej JDT. Można to zrobić ręcznie (wg zaleceń Microsoftu) lub też nieco wygodniej za pomocą narzędzia AxBan. Identyfikator klasy problematycznej kontrolki to CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA.

W Firefoksie pomocne okaże się zablokowanie dostępu do pliku npdeploytk.dll przez bardziej restrykcyjne ustawienie uprawnień. Szczegóły można odnaleźć w dokumencie opublikowanym przez US-CERT.

[źródło]