משתמשי אבטחה המשתמשים בג'אווה עם חתימה דיגיטלית כדי להטעות משתמשים

חוקרי אבטחה מזהירים כי פושעי אינטרנט החלו להשתמש מנעולים של ג 'אווה חתום עם אישורים דיגיטליים כדי להטעות משתמשים לתוך המאפשר קוד זדוני לרוץ בתוך דפדפנים.

Java לנצל חתום התגלה ביום שני אתר האינטרנט של אוניברסיטת Chemnitz בטכנולוגיה בגרמניה, אשר היה נגוע ערכת כלים אינטרנט לנצל קרא g01pack, חוקר אבטחה אריק רומנג אמר ביום שלישי בבלוג.

"זה בהחלט חבילת go01", Jindrich Kubec, מנהל איום המודיעין ב אנטי וירוס Avast, אמר באמצעות דוא"ל. המדגם הראשון של ג 'אווה זה לנצל חתם זוהה ב 28 בפברואר, אמר.

[לקריאה נוספת: כיצד להסיר תוכנות זדוניות מהמחשב Windows שלך]

לא היה ברור מיד אם זה לנצל לנצל פגיעות חדשה או פגם ישן יותר בג'אווה שכבר תוקן. אורקל פרסמה עדכוני אבטחה חדשים של ג'אווה ביום שני, כדי לטפל בשתי פגיעויות קריטיות, שאחת מהן נוצלה באופן פעיל על ידי התוקפים.

Java utilizes מסורתי נמסר כמו יישומונים חתומים - Java יישומי אינטרנט. ביצוע של יישומונים כאלה היה אמור להיות אוטומטי בגירסאות ג 'אווה ישנות יותר, אשר אפשרה האקרים להשיק התקפות להוריד על ידי הורדה שהיו שקופים לחלוטין לקורבנות.

אישור ביטול הגדרות אישור ב- Java 7

החל עם שחרור ינואר של Java 7 Update 11, פקדי האבטחה המוגדרים כברירת מחדל עבור תוכן Java מבוססי אינטרנט מוגדרים למשתמשים גבוהים ומבקשים לאישור לפני שניתן ליישומו של יישומונים בתוך דפדפנים, ללא קשר לשאלה אם הם חתומים דיגיטלית או לא.

שימוש במצלמות חתומות על אלו שאינם חתומים מספק יתרונות עבור התוקפים, כי דיאלוגים אישור המוצג על ידי ג 'אווה בשני המקרים הם שונים באופן משמעותי. הדיאלוגים של יישומוני Java לא חתומים הם למעשה שכותרתו "אזהרת אבטחה".

חתימה דיגיטלית היא חלק חשוב של הבטחת המשתמשים הם יכולים לסמוך על הקוד שלך, בוגדן Botezatu, אנליסט בכיר איום אלקטרוני על ספק האנטי וירוס Bitdefender, אמר באמצעות דוא"ל. תיבת הדו-שיח לאישור המוצגת עבור קוד חתום היא הרבה יותר דיסקרטית ומאיימת פחות מזו המוצגת במקרה של קוד לא חתום, הוא אמר. "בנוסף, ג 'אווה עצמה מעתיקה את הקוד החתימה והבלתי חתומה באופן שונה ואוכפת הגבלות אבטחה באופן הולם," Botezatu אמר. לדוגמה, אם הגדרות האבטחה של Java מוגדרות למצב "גבוה מאוד", יישומונים לא חתומים לא יפעלו כלל, בעוד שהיישומונים החתומים יפעלו אם המשתמש יאשר את הפעולה. בסביבות ארגוניות שבהן נאכפות הגדרות אבטחה גבוהות מאוד של Java, חתימת קוד עשויה להיות הדרך היחידה לתוקפים להריץ יישומון זדוני במערכת ממוקדת.

דוגמה לאזהרה בנושא אבטחה עבור יישומון Java שנחתם ב- Java 7 Update 17

ניצול חדש זה של ג'אווה גם הביא לידי ביטוי את העובדה ש- Java אינה בודקת את ביטול האישורים הדיגיטליים כברירת מחדל.

הניצול שנמצא על ידי חוקרים ביום שני נחתם בתעודה דיגיטלית שכנראה נגנבה. התעודה הוציאה על ידי Go Daddy לחברה הנקראת Clearesult Consulting שבסיסה באוסטין, טקסס, ולאחר מכן בוטלה עם תאריך של 7 בדצמבר 2012.

ביטול אישורים יכול לחול רטרואקטיבית ולא ברור מתי בדיוק Go Daddy סימן את תעודת ביטול. עם זאת, ב 25 בפברואר, שלושה ימים לפני המדגם הישן ביותר של ניצול זה זוהה, התעודה כבר רשום כמבוטל ברשימת ביטול התעודה שפורסמה על ידי החברה, אמר Kubec. למרות זאת, ג 'אווה רואה את האישור תקף.

בכרטיסייה "מתקדם" בלוח הבקרה של Java, תחת הקטגוריה "הגדרות אבטחה מתקדמות", קיימות שתי אפשרויות הנקראות "בדיקת אישורים לביטול באמצעות רשימות אישורים של תעודות (CRL)) "ו -" אפשר אימות מקוון אישור "- האפשרות השנייה משתמשת OCSP (פרוטוקול מצב אישור מקוון). שתי האפשרויות הללו מושבתות כברירת מחדל.

אורקל אינה מעירה על בעיה זו כרגע, סוכנות יחסי הציבור של אורקל באנגליה אמרה היום (ג ') בדוא"ל: "ההקרבה של אבטחה לנוחות היא פיקוח ביטחוני חמור, במיוחד כשג'אווה הייתה החלק השלישי של התוכנה מאז נובמבר 2012 ", אמר Botezatu. עם זאת, אורקל אינה לבד בכך, אמר החוקר, וציין כי Adobe שולחת Adobe Reader 11 עם מנגנון ארגז חול חשוב מושבת כברירת מחדל עבור סיבות שימושיות.

שניהם Botezatu ו Kubec משוכנעים כי התוקפים יהיה יותר ויותר להתחיל להשתמש ב- Java חתום דיגיטלית מנצלת כדי לעקוף את הגבלות האבטחה החדשות של ג'אווה בקלות רבה יותר.

חברת האבטחה Bit9 חשפה לאחרונה שהאקרים הפרו את אחת התעודות הדיגיטליות שלה והשתמשו בה כדי לחתום על תוכנות זדוניות. בשנה שעברה, האקרים עשו את אותו הדבר עם אישור דיגיטלי פגום של Adobe.

תקריות אלה ו לנצל את זה חדש ג 'אווה הם הוכחה כי תעודות דיגיטליות תקפות יכול בסופו של דבר לחתום על קוד זדוני, אמר Botezatu. בהקשר זה, בדיקה פעילה של ביטול תעודה חשובה במיוחד משום שמדובר בהקטנה היחידה הקיימת במקרה של פשרה בתעודה.

משתמשים הדורשים Java בדפדפן על בסיס יומי צריכים לשקול לאפשר בדיקת ביטול תעודה כדי להגן מפני התקפות המנצלות תעודות גנובות, אמר אדם Gowdiak, מייסד המשרד לחקר הפגיעות הפולנית Security Explorations, בדוא"ל. חוקרים בתחום האבטחה מצאו ודיווחו על יותר מ -50 פגיעויות של ג'אווה בשנה האחרונה.

בעוד שמשתמשים צריכים לאפשר באופן ידני את האישורים לביטול האישורים, רבים מהם כנראה לא יעשו את זה בהתחשב בכך שהם אפילו לא להתקין עדכוני אבטחה, אומר Kubec. החוקרים מקווים כי אורקל תפעיל את התכונה באופן אוטומטי בעדכון עתידי