Kullanıcıları kandırmak için dijital olarak imzalanmış Java istismarlarını kullanan siber suçlular

Güvenlik araştırmacıları, siber suçluların, kullanıcılara kötü amaçlı kodun tarayıcıların içinde çalışmasına izin vermek için kandırmak amacıyla dijital sertifikalarla imzalanan Java istismarlarını kullanmaya başladıkları konusunda uyarıyor.

İmzalanmış bir Java istismarının Pazartesi günü Almanya'daki Chemnitz Teknoloji Üniversitesi'ne ait ve g01pack adlı bir Web istismar aracıyla enfekte olan web sitesi, güvenlik araştırmacısı Eric Romang Salı günü bir blog gönderisinde bulundu.

“Bu kesinlikle go01 paketi,” Jindrich Kubec, tehdit istihbarat müdürü antivirüs satıcısı Avast, e-posta yoluyla söyledi. İmzalanan bu Java istismarının ilk örneği 28 Şubat'ta tespit edildi.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Bu istismarın yeni bir güvenlik açığını mı hedeflediğini ya da Daha önce yamalanmış olan eski bir Java hatası. Oracle Pazartesi günü yeni kritik güvenlik açıklarını ele almak için yeni Java güvenlik güncellemelerini yayınladı. Bunlardan biri saldırganlar tarafından aktif olarak kullanılıyordu.

Java istismarları geleneksel olarak imzasız uygulamalar-Java Web uygulamaları olarak teslim edildi. Bu gibi uygulamaların yürütülmesi, eski Java sürümlerinde otomatik hale getirildi. Bu, bilgisayar korsanlarının kurbanlara karşı tamamen şeffaf olan saldırı indirme saldırılarını başlatmalarına izin verdi.

Java sürümde sertifika iptal etme ayarları

Ocak sürümünden başlayarak Java 7 Güncelleme 11'de, Web tabanlı Java içeriği için varsayılan güvenlik denetimleri yüksek değere ayarlanmış, uygulamaların tarayıcılar içinde çalışmasına izin verilmeden önce, kullanıcıların dijital olarak imzalanıp imzalanmadıklarına bakılmaksızın onaylanmaları istenir.

İmzasız istismarlar üzerinden imzalı istismarlar kullanmak saldırganlara fayda sağlar, çünkü iki vakada Java tarafından gösterilen onay diyalogları oldukça farklıdır. İmzasız Java uygulamaları için diyaloglar aslında “Güvenlik Uyarısı” olarak adlandırılır.

E-posta yoluyla antivirüs satıcısı Bitdefender'ın üst düzey bir e-tehdit analisti olan Bogdan Botezatu, kullanıcıların kodlarına güvenebilecekleri konusunda güvence sağlamanın önemli bir parçası olduğunu belirtti. İmzalı kod için görüntülenen onay iletişim kutusu, imzasız bir kodda görüntülenenlerden çok daha ayrık ve daha az tehditkâr olduğunu belirtti.

“Ayrıca, Java'nın kendisi imzalanmış ve imzasız kodları farklı şekilde işler ve güvenlik kısıtlamalarını uygun şekilde uygular,” Botezatu dedim. Örneğin, Java güvenlik ayarları “çok yüksek” olarak ayarlanmışsa, imzasız uygulamalar hiçbir şekilde çalışmaz, kullanıcı eylemi onaylarsa imzalanmış uygulamalar çalışır. Çok yüksek Java güvenlik ayarlarının uygulandığı kurumsal ortamlarda, saldırganların hedeflenen bir sistemde kötü amaçlı bir uygulama çalıştırması için tek yol kodlama olabilir, dedi.

Java 7'de imzalanmış Java uygulaması için güvenlik uyarısı örneği 17

Bu yeni Java istisnası, Java'nın dijital sertifika iptallerini varsayılan olarak kontrol etmediği gerçeğini ortaya çıkardı.

Pazartesi günü araştırmacıların bulduğu istismar, büyük olasılıkla çalınan bir dijital sertifika ile imzalandı. Sertifika Go Daddy tarafından Austin, Texas merkezli Clearesult Consulting adlı bir şirkete verildi ve daha sonra 7 Aralık 2012 tarihine kadar iptal edildi.

Sertifika iptalleri geriye dönük olarak uygulanabilir ve tam olarak Go Daddy işaretlendiğinde net değil iptal sertifikası. Ancak, Kubec, 25 Şubat'ta, bu istismarın en eski örneğinin tespit edilmesinden üç gün önce, şirketin yayınladığı sertifika iptal listesinde iptal edilmiş olarak listelendiğini söyledi. Buna rağmen, Java sertifikayı geçerli olarak görür.

Java kontrol panelinin “Gelişmiş” sekmesinde, “Gelişmiş güvenlik ayarları” kategorisi altında, “Sertifika İptal Listeleri'ni (CRL) kullanarak iptal için sertifikaları kontrol edin.) ”Ve“ Çevrimiçi sertifika doğrulamasını etkinleştir ”- ikinci seçenek OCSP'yi (Çevrimiçi Sertifika Durumu Protokolü) kullanır. Bu seçeneklerin ikisi de varsayılan olarak devre dışıdır.

Oracle'ın şu anda bu konuyla ilgili herhangi bir yorumu yok, Oracle'ın İngiltere'deki PR ajansı e-posta yoluyla Salı günü dedi.

“Java'nın en çok hedeflenen üçüncü parti parçası olduğu için, rahatlık için güvenlikten ödün vermek ciddi bir güvenlik denetimi. Kasım 2012'den bu yana yazılım ”dedi Botezatu. Ancak, Oracle bu konuda yalnız değil, Adobe'nin Adobe Reader 11'i kullanılabilirlik nedenleriyle varsayılan olarak devre dışı bırakılmış önemli bir sanal alan mekanizmasıyla birlikte gönderdiğine dikkat çekiyor.

Hem Botezatu hem de Kubec, saldırganların giderek dijital olarak imzalanmış Java kullanmaya başlayacağına ikna oldular. Java’nın yeni güvenlik kısıtlamalarını daha kolay atlatmak için istismarlar.

Güvenlik firması Bit9, kısa bir süre önce bilgisayar korsanlarının dijital sertifikalarından birini ele geçirdiğini ve kötü amaçlı yazılım imzalamak için kullandığını açıkladı. Geçtiğimiz yıl, bilgisayar korsanları Adobe'den gelen bir dijital sertifika ile aynı şeyi yaptılar.

Bu olaylar ve bu yeni Java istismarının geçerli dijital sertifikaların kötü amaçlı kodları imzalamalarına yol açabileceğinin bir kanıtı olduğunu belirten Botezatu. Bu bağlamda, sertifika iptallerini aktif olarak kontrol etmek özellikle önemlidir çünkü sertifika ödün vermesi durumunda mevcut olan tek etki azaltmadır.

Günlük olarak bir tarayıcıda Java gerektiren kullanıcılar, sertifika iptal denetiminin daha iyi olmasını sağlamayı düşünmelidir. Polonya güvenlik açığı araştırma firması Security Explorations'ın kurucusu Adam Gowdiak e-posta yoluyla çalıntı sertifikaları kullanarak saldırılara karşı koruma sağlandığını söyledi. Güvenlik Araştırmaları araştırmacıları geçtiğimiz yıl içinde 50'den fazla Java zayıflığı buldu ve rapor etti.

Kullanıcılar bu sertifika iptal seçeneklerini el ile etkinleştirseler de, çoğu güvenlik güncellemelerini bile yüklemediklerini düşünürse büyük olasılıkla bunu yapmayacaktır.. Araştırmacı, Oracle'ın gelecekteki bir güncellemede otomatik olarak özelliği açacağını umuyor.