15 kwietnia 2010

Crackerzy aktywnie wykorzystują lukę w Javie

Krytyczny błąd Zero Day obecny w środowisku wykonawczym Sun Java (Java Runtime Environment, JRE) jest już aktywnie wykorzystywany przez crackerów do infekowania komputerów pracujących pod kontrolą systemów z rodziny Windows. Złośliwy kod zdolny do wykorzystania luki został już zauważony między innymi na popularnej witrynie songlyrics.com. Wszyscy internauci korzystający z Javy powinni w najbliższym czasie zachować szczególną ostrożność.

Przypomnijmy, że Tavis Ormandy opublikował niedawno szczegółowe informacje na temat odkrytej przez siebie luki w zabezpieczeniach Java Deployment Toolkit (JDT), za pomocą której odpowiednio spreparowane strony mogą uruchamiać dowolne programy w ramach lokalnego systemu operacyjnego. Możliwe jest więc przykładowo pobranie za pomocą FTP trojana, a następnie jego uruchomienie. JDT znajduje się w pakiecie Javy od Java 6 Update 10, a jego zadaniem jest ułatwienie programistom dystrybucji programów.

Specjaliści z firmy AVG odkryli kod podobny do przykładowego exploitu opublikowanego przez Tavisa na popularnej stronie songlyrics.com. Kod ten pobierany był natomiast z rosyjskiej witryny assetmancomcareers.com (uwaga, witryna ta zawiera złośliwy kod). W wyniku ataku, system internauty zostaje zaatakowany za pomocą oprogramowania Crimepack exploit kit, czyli zbioru narzędzi zdolnych do wykonania wielu rodzajów automatycznych włamań. Oto jak wygląda panel logowania oraz zarządzania systemem Crimepack:
Niemal natychmiastowe wykorzystanie informacji o nowej luce Zero Day do przeprowadzania ataków wymierzonych w internautów nie stanowi zaskoczenia. W tej sytuacji, wszystkie osoby korzystające w swym systemie z technologii Java, powinny zastosować tymczasowe środki zaradcze.

Obecność Javy w naszym systemie możemy zweryfikować pod tym adresem. Jeśli Java jest zainstalowana, przed skutecznym atakiem uchroni nas wprowadzenie modyfikacji zależnych od rodzaju używanej przeglądarki.

W przypadku Internet Explorera należy ustawić killbit dla kontrolki ActiveX obsługującej JDT. Można to zrobić ręcznie (wg zaleceń Microsoftu) lub też nieco wygodniej za pomocą narzędzia AxBan. Identyfikator klasy problematycznej kontrolki to CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA.

W Firefoksie pomocne okaże się zablokowanie dostępu do pliku npdeploytk.dll przez bardziej restrykcyjne ustawienie uprawnień. Szczegóły można odnaleźć w dokumencie opublikowanym przez US-CERT.

[źródło]

Komentarze (13)

Wczytywanie... Logowanie...
  • Zalogowany jako
Czyli jak otworzyłemhttp://www.songlyrics.com/ to powinno coś się stać z moim PC?
12 odpowiedzi · aktywny 781 tygodni temu
Pewnie Twój Mac OS Cię uratował ;P.
A co się powinno stać? Bo mi się po kliknięciu tylko nowa karta otworzyła }:->
Moja przeglądarka mnie tam nie wpuszcza, więc się nie pcham :P.
OMG... Jak nie wpuszcza :D?
"Ostrzeżenie: Odwiedzenie tej witryny może spowodować uszkodzenie komputera. W witrynie assetmancomcareers.com przechowywane jest złośliwe oprogramowanie, które może uszkodzić komputer lub w inny sposób działać bez zgody użytkownika. Samo odwiedzenie witryny zawierającej złośliwe oprogramowanie może spowodować zainfekowanie komputera."
Przeglądarka wyraźnie ostrzega, że nie mam tam wchodzić ;P.
Ignoruje i... "404 Not Found" -___-
Widocznie to zło udaje, że go tam nie ma ;).
Zrobiłeś coś? Wysłałeś komentarz ale go tu nie ma...

"Widocznie to zło udaje, że go tam nie ma ;)."
To jak miało by to działać? Mam poudawać IE6 na XP ;)?
Może nic tam już nie ma, ale stronka nadal jest przez safebrowsing oznaczana jako niebezpieczna? (ja wszystkie komentarze widzę)
Tak.
Od razu po wejściu atakuje komunikat WOT i ten na czerwono :).
Po ignorowaniu wywala 404 z podpisem nginxa :).

"(ja wszystkie komentarze widzę)"
Tzn?
"Wysłałeś komentarz ale go tu nie ma... " ?
Nie pojawił mi się. Przyszedł e-mail a tu go nie było. Już jest OK.

Wyślij nowy komentarz

Comments by