Distribución masiva del exploit “del día cero” de Java

Sólo una nota rápida: acaba de terminar la segunda semana de enero, pero 2013 ya nos ha traído la primera distribución masiva de un exploit “del día cero” de Java.

Parece que hay muchas redes de anuncios publicitarios que redirigen a sitios de Blackhole, ahondando el problema de la explotación masiva. Hemos visto anuncios en sitios legítimos, en especial en el Reino Unido, Brasil y Rusia, que dirigen a dominios que alojan la versión de Blackhole que está instalando el exploit “del día cero” de Java. Entre ellos hay sitios con información sobre el clima, de noticias y, por supuesto, sitios para adultos. Algunos archivos ofuscados se están descargando en los sistemas de las víctimas con nombres como Stretch.jar, Edit.jar, UTTER-OFFEND.JAR y más. A primera vista, parece que la primera aparición de la prevención del exploit en nuestra comunidad Kaspersky Security Network se dio el 6 de enero. Pero, al hacer un análisis retrospectivo, encontramos ejemplares que datan de mediados de diciembre. Así que hemos estado bloqueando esta vulnerabilidad en particular por bastante tiempo. Por ahora, parece que el primer caso en el mundo real que se dio del archivo del jar de esta vulnerabilidad es 7550ce423b2981ad5d3aaa5691832aa6. Los nombres de los archivos de clases siguen iguales por ahora. Sería interesante ver un ejemplar anterior.

Los usuarios de Kaspersky no deben preocuparse, ya que nuestro sistema de prevención automática de exploits (AEP) previene los exploits de esta vulnerabilidad de forma genérica. Sorprendentemente, aunque parece que no hay un nivel alto de ofuscación polimórfica del lado del servidor en los archivos de clase en sí, los archivos exploit alojados se están actualizando y cambiando desde ayer. Los desarrolladores y operadores de Blackhole se esforzaron mucho en cambiar los nombres de dominio.
Actualización (10.01.2013 3:30 p.m. MT): los desarrolladores de Metasploit han agregado un módulo de exploits que tiene esta vulnerabilidad como blanco (CVE-2013-0422).

Bueno, se acabaron los secretos. La amenaza del día cero no sólo estaba circulando en los paquetes de exploits más predominantes como Blackhole, Nuclear y Red Kit, todos están armados también con la versión metaploit. Aquí hay un poco más de información al respecto: los nombres de archivo del exploit cuando se lanzaron y después fueron prevenidos por nuestro AEP el 17 de diciembre (hora de Moscú), incluían ewjvaiwebvhtuai124a.class, hw.class, y test.class. Esto es interesante porque los anteriores exploits de Java en Blackhole sólo distribuían mac.class, hw.class y test.class en sus archivos comprimidos jar. Así que fue un cambio simple que seguro querían que pasara desapercibido. También es interesante que el primer sistema conocido que ejecutó el exploit recuperó el malcode con un navegador Firefox, lo que demuestra la solidez de los exploits de Java. Además, en diciembre de 2012, la vulnerabilidad del día cero se usó para distribuir el malware TDSS y ZeroAccess.

Este gráfico muestra nuestras detecciones de la vulnerabilidad del día cero de Java desde finales de diciembre hasta principios de enero de 2013. Fíjate en el salto que hay el 9 de enero. ¡Es maravilloso comprobar que nuestra tecnología está funcionando!:

Para aquellos que necesiten ver nuestras detecciones en virustotal para creer que “AV” previene una amenaza, también deberían buscar HEUR:Exploit.Java.CVE-2013-0422.gen, Exploit.Java.Agent.ic, Exploit.Java.Agent.id, Exploit.Java.Agent.ie, Exploit.Java.Agent.if y otras para realizar los análisis. Este es un mapa actualizado de las detecciones de HEUR:Exploit.Java.CVE-2013-0422.gen que muestra que el exploit ya se ha expandido hasta llegar a los miles. El mapa incluye información obtenida entre el 6 y el 11 de enero:

Uno de los encargados del ISC Storm Center presentó en una edición reciente de SANS NewsBites una de las mejores declaraciones que he visto en relación a la tan poco práctica actitud de “sólo desinstálalo”: “Nota del editor ([Mat] Honan): Parece que cada vez que aparece un exploit del día cero en un programa, ya sea Java o cualquier otro, la industria recomienda a la gente que deje de utilizarlo. Siempre se descubrirán nuevas vulnerabilidades en los programas que utilizamos. Si nuestra mejor defensa contra una amenaza es causar una negación de servicio contra nosotros mismos, ésta es una estrategia sin ganadores para nosotros como industria. Necesitamos encontrar mejores formas de defender nuestros sistemas y datos, un buen lugar para comenzar son los 20 Controles de Seguridad Críticos http://www.sans.org/critical-security-controls/”.

¡Brindo por eso!