Video: New Exploit Technique In Java Deserialization Attack (Settembre 2024)
Con il recente exploit zero-day per Java, stiamo battendo il tamburo "aggiorna Java adesso" e suonando il fife "disabilita Java del tutto" nella parata di SecurityWatch . Se ciò non bastasse, le notizie recenti che la campagna di attacco informatico di ottobre rosso ha fatto uso di un exploit Java sono solo un motivo in più per non fare un passo indietro.
Il vettore di attacco Java è stato scoperto da Seculert e annunciato martedì sul blog dell'azienda. Mentre molti aggressori fanno uso di exploit Java, differisce da quanto precedentemente noto su Red October. Nel rapporto iniziale sulla campagna di Kaspersky Labs, Red October era caratterizzato dal fatto di fare affidamento su attacchi e-mail di spearphishing altamente mirati con file infetti.
"Nel vettore, gli aggressori hanno inviato un'e-mail con un collegamento incorporato a una pagina Web PHP appositamente predisposta", scrive Seculert. "Questa pagina Web ha sfruttato una vulnerabilità in Java (CVE-2011-3544) e in background ha scaricato ed eseguito automaticamente il malware."
Non un nuovo exploit
È importante notare che l'attacco Java utilizzato da Red October non è l'exploit zero-day che stiamo affrontando. In effetti, Seculert scrive che questa parte dell'attacco di Red October è stata scritta intorno a febbraio 2012, mentre l'exploit che utilizza è stato patchato nell'ottobre 2011. Ecco perché dovresti mantenere il tuo software aggiornato e aggiornato.
Dopo che sono state pubblicate le notizie sull'aspetto Java di Red October, Kaspersky ha pubblicato un seguito con ulteriori informazioni. "Sembra che questo vettore non sia stato ampiamente utilizzato dal gruppo", scrive Kaspersky. "Quando abbiamo scaricato il php responsabile di servire l'archivio malcode '.jar', la riga di codice che consegnava l'exploit java è stata commentata."
Cercando di caratterizzare questo aspetto dell'attacco, Kaspersky non crede che ciò indichi un approccio diverso da parte di Red October. Invece, credono che sia in linea con gli attacchi metodici e ben studiati che sono il marchio di fabbrica di Red October.
Cosa significa
"Potremmo ipotizzare che il gruppo abbia consegnato con successo il proprio payload di malware agli obiettivi appropriati per alcuni giorni, quindi non ha più avuto bisogno dello sforzo", ha scritto ieri Kaspersky. "Il che potrebbe anche dirci che questo gruppo, che ha meticolosamente adattato e sviluppato il proprio set di strumenti di infiltrazione e raccolta nell'ambiente delle vittime, aveva bisogno di passare a Java dalle loro solite tecniche di pesca subacquea all'inizio di febbraio 2012."
Kaspersky ha continuato a scrivere che diversi aspetti tecnici di questo attacco differiscono dagli altri attacchi di Red October, il che fa credere alla società di sicurezza che questo exploit sia stato sviluppato per un obiettivo specifico.
È un sollievo sapere che l'aspetto Java di Red October non è stato utilizzato per colpire una fascia più ampia di vittime. Mentre questa campagna di attacchi informatici è terrificante nella sua efficacia, i suoi creatori si sono concentrati su obiettivi governativi e diplomatici di alto profilo e non utenti di tutti i giorni. Tuttavia, dimostra anche che molti exploit software sono ben noti agli aggressori, che trarranno vantaggio dagli utenti pigri che si sottraggono ai loro aggiornamenti.
Per ulteriori informazioni su Max, seguilo su Twitter @wmaxeddy.
