Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Masowa dystrybucja exploitów wykorzystujących lukę 0-day w Javie

Kurt Baumgartner
Kaspersky Lab Expert
Dodany 11 stycznia 2013, 15:19 CET
Tagi:

W telegraficznym skrócie – jest dopiero drugi tydzień stycznia, a początek roku 2013 już przynosi pierwszą w tym roku masową dystrybucję exploitów wykorzystującą lukę 0–day w Javie.

Wygląda na to, że istnieje cała masa sieci reklamowych, przekierowujących użytkowników do witryn zawierających zestaw exploitów o nazwie Blackhole. Cała sytuacja wzmaga problem masowego wykorzystywania luk w niedostatecznie załatanych systemach. Widzieliśmy ogłoszenia na legalnych stronach internetowych, zwłaszcza w Wielkiej Brytanii, Brazylii i Rosji, które wykonywały przekierowanie do domen hostujących bieżącą wersję Blackhole, pozwalającą na wykorzystanie luki 0–day w Javie.

Miejsca te obejmowały strony pogodowe, witryny informacyjne oraz, oczywiście, strony tylko dla dorosłych. Kilka skrzętnie ukrytych plików jest dostarczanych do systemu ofiary z nazwami, takimi jak: Stretch.jar, Edit.jar, UTTER-OFFEND.JAR itd. Pierwsze zgłoszenie systemu zapobiegania exploitom w naszej sieci KSN pochodzi z dnia 6 stycznia 2013 r. Jednak, gdy poszukaliśmy głębiej, znaleźliśmy podobne próbki z połowy grudnia ubiegłego roku. Tak więc, Kaspersky Lab od dłuższego czasu zapobiega tej luce 0–day.

Na chwilę obecną wydaje się, że ITW pierwszej instancji konkretnego pliku JAR wykorzystującego lukę 0–day to 7550ce423b2981ad5d3aaa5691832aa6. Nazwy dla plików klas do niedawna pozostawały takie same. Interesujące byłoby przeanalizowanie wcześniejszych instancji tego zagrożenia.

Użytkownicy najnowszych wersji rozwiązań Kaspersky Lab są chronieni przez naszą nowatorską technologię Automatycznego zapobiegania exploitom (AEP). Niespodziewanie, podczas gdy wydaje się, że po stronie serwera polimorficzny poziom zaciemnienia w samych plikach klasy nie był wysoki, to jednak hostowane pliki exploita do wczoraj nie były zmieniane i uaktualniane. Zamiast tego twórcy i operatorzy zestawu Blackhole wkładali dużo wysiłku w zmianę nazw domen.

Aktualizacja (10/01/2013, godz. 17.30): twórcy Metasploita – otwartego narzędzia służącego do testów penetracyjnych i łamania zabezpieczeń systemów teleinformatycznych – dodali do swojego produktu moduł exploita wykorzystujący lukę CVE-2013-0422.