Video: What is a zero-day exploit? (Novembre 2024)
La reputazione di Java ha preso nuovamente un colpo, dopo che Facebook ha rivelato che gli aggressori si erano infiltrati nei suoi sistemi interni dopo aver sfruttato una vulnerabilità zero-day.
Come riportato da PCMag.com nel tardo pomeriggio di ieri, Facebook ha dichiarato che i suoi sistemi sono stati "presi di mira in un attacco sofisticato" a gennaio. Alcuni dipendenti di Facebook, presumibilmente sviluppatori, sono stati infettati dopo aver visitato un sito di sviluppo mobile di terze parti, ha dichiarato la società in un post di Facebook Security sul sito. Gli aggressori avevano precedentemente compromesso il sito degli sviluppatori e iniettato codice dannoso che sfruttava un buco nella sicurezza nel plugin Java. L'exploit zero-day ha aggirato la sandbox Java per installare il malware sui computer delle vittime, ha affermato Facebook.
Facebook ha segnalato l'exploit a Oracle, ed è stato riparato il 1 ° febbraio. Oracle all'epoca ha affermato che la correzione era stata programmata per il 19 febbraio, ma aveva accelerato il rilascio perché veniva sfruttato in natura. A questo punto non è chiaro quale dei 39 (su 50) bug di Java Runtime Environment corretti in quella patch fosse quello usato in questo exploit.
Facebook ha assicurato agli utenti che nessuno dei dati degli utenti era stato compromesso durante l'attacco, ma non ha indicato se qualcuno dei suoi dati interni fosse stato interessato.
Twitter l'altra vittima?
Facebook ha informato diverse altre società che erano state colpite dallo stesso attacco e ha consegnato le indagini alle forze dell'ordine federali. Mentre la società non ha identificato altre vittime, i tempi dell'attacco coincidono con la violazione di Twitter. Le credenziali dell'utente erano state esposte in quell'attacco. Ora che conosciamo alcuni dettagli dell'attacco su Facebook, ha senso l'avviso criptico di Twitter sulla disabilitazione dei plugin del browser Java.
Come riportato in precedenza da SecurityWatch , il direttore della sicurezza delle informazioni di Twitter, Bob Lord, ha dichiarato: "Abbiamo anche fatto eco alla consulenza del Dipartimento per la sicurezza nazionale degli Stati Uniti e agli esperti di sicurezza per incoraggiare gli utenti a disabilitare Java sui loro computer nei loro browser".
Accumulare su AV Non è il punto
Facebook ha notato che i laptop compromessi "erano completamente patchati e con software antivirus aggiornato". Alcuni esperti di sicurezza si sono espressi sul fatto di ribadire le loro argomentazioni secondo cui l'antivirus era un "tecnologo fallito". Alcuni hanno affermato che Facebook dovrebbe rivelare il nome del fornitore dell'antivirus in modo che altri clienti possano sapere se sono a rischio.
La storia su cui concentrarsi qui non è se l'antivirus avrebbe dovuto rilevare l'exploit Java, ma piuttosto che Facebook ha usato con successo la sua difesa a strati per rilevare e fermare l'attacco. Il team di sicurezza dell'azienda monitora continuamente l'infrastruttura per rilevare eventuali attacchi e ha contrassegnato il dominio sospetto nei registri DNS aziendali, ha affermato Facebook. Il team lo ha rintracciato su un laptop dipendente, ha trovato un file dannoso dopo aver condotto un esame forense e ha contrassegnato diversi altri laptop compromessi con lo stesso file.
"Tanto di cappello a Facebook per la loro rapida reazione a questo attacco, l'hanno stroncato sul nascere", ha detto a SecurityWatch Andrew Storms, direttore delle operazioni di sicurezza di nCircle.
Oltre alla sicurezza a più livelli, Facebook conduce regolarmente simulazioni ed esercitazioni per testare le difese e lavorare con i soccorritori. Ars Technica ha recentemente raccontato un affascinante racconto di uno di questi esercizi su Facebook in cui i team di sicurezza pensavano di avere a che fare con un exploit zero-day e un codice backdoor. Questo tipo di simulazione viene utilizzato in diverse organizzazioni, sia nel settore pubblico che in quello privato.
Non così facile sbarazzarsi di Java
Come notato da SecurityWatch all'inizio di questo mese, è facile consigliare agli utenti di disabilitare Java nei loro browser, ma molti strumenti di business fanno ancora affidamento sul plug-in Java del browser. Mentre non sono a conoscenza di strumenti di sviluppo che richiedono Java nel browser, ci sono molti altri strumenti aziendali predominanti che lo fanno. Proprio l'altro giorno, ho avuto problemi a far funzionare WebEx su Chrome (Java disabilitato) e ho dovuto ricordare di passare a Internet Explorer (Java abilitato).
Gli aggressori stanno diventando subdoli, compromettendo i siti legittimi e attaccando i visitatori di tali siti. Mantieni il software e il sistema operativo corretti ed esegui un software di sicurezza aggiornato. Riduci la superficie di attacco dove puoi, ma soprattutto, fai attenzione a ciò che sta accadendo sulla tua rete.