El exploit día-cero de Java en la web

La actividad del exploit día-cero de Java, que hemos estado vigilando y bloqueando desde la anterior semana, se haexpuesto de manera irresponsable en otros blogs vinculándola con sitios allegados a este exploit. El apuro por publicar sobre este exploit día-cero, conocido como CVE-2012-4681 (un problema con el procesamiento del control de acceso dentro de los “dominios de protección”), es una irresponsabilidad. ¿Serías capaz de decirle a alguien que se aventure sin protección alguna en un callejón oscuro que alberga asaltantes, o intentarías denunciar a los asaltantes y pedir que iluminen el callejón y lo mejoren? ¿Les darías a los asaltantes nuevas armas con las que ni siquiera han soñado? Esta vez todos los esfuerzos parecen haber caído en un saco roto.

De todas maneras, los sitios originales que alojaban el exploit eran únicos y propagaban componentes de herramientas relacionadas con APT, incluyendo una variante de Poison Ivy. Este es un mapa de las primeras detecciones de PIvy.

Y este es otro mapa de las primeras detecciones de páginas web relacionadas y javascripts que propagaban el exploit de Java.

Todos los programas maliciosos relacionados que he visto hasta ahora apuntan a los sistemas Windows. Los exploits son efectivos contra Java 7, y desde los primeros ataques dirigidos han corrido las noticias y se han diseminado las muestras entre la amplia comunidad dedicada a la seguridad, y los exploits han logrado llegar hasta los desarrolladores de mestasploit quieneshan añadido PoC a la estructura del código abierto. A su vez, los autores de Blackhole añadieron el exploit a sus COTS. Por lo que los ataques se han propagado tan ampliamente hasta ahora. Las primeras regiones en sufrir el ataque de Blackhole fueron EE.UU., Rusia, Bielorrusia, Alemania, Ucrania y Moldavia. Pero, en relación con los otros exploits incluidos en el paquete, las víctimas sólo sufren algunos ataques del exploit día-cero. Los usuarios de Internet Explorer son los más atacados, seguidos de los de Firefox, Chrome y Opera, y después una variedad de otras aplicaciones que utilizan URLs en sus documentos y finalmente pasan el .jar malicioso a un cliente Java, como Adobe Reader.

Estamos empleando una variedad de detecciones y técnicas para identificar los sitios maliciosos, las páginas web implicadas, el código del exploit, y las cargas maliciosas del troyano puerta trasera que propagan estos sitios. Aunque este particular exploit día-cero de Java está acaparando la atención, otros exploits más antiguos del paquete de exploits Blackhole han aumentado sus ataques contra los sistemas en los equipos de los usuarios. Pero nuestra comunidad está protegida contra los sitios de Blackhole, las páginas web que dan soporte al exploit día-cero de Java Blackhole, sitios comprometidos que desvían el tráfico a los sitios de Blackhole, los extendidos y más antiguos exploits Blackhole y sus páginas de propagación, y los troyanos que propagan estos sitios de Blackhole. Además, “Advanced Exploit Prevention” de Kaspersky proporciona otro nivel de protección runtime/de comportamiento contra el exploit día-cero con “Exploit Java Generic”. Para mí, esta característica AEP es la más interesante puesto que ha anulado los esfuerzos de los autores de paquetes de exploits en mejorar el polimorfismo del servidor del exploit Java. Nuestra comunidad verá que se ha bloqueado el acceso a los sitios de Blackhole, a las páginas web individuales de Blackhole, detectadas con variaciones de “Trojan-Downloader.JS.Agent”, los troyanos puerta trasera detectados con”Trojan.Win32.Generic” y otros (por ejemplo, 61A3CE517FD8736AA32CAF9081F808B4, DEC9676E97AE998C75A58A02F33A66EA, 175EFFD7546CBC156E59DC42B7B9F969, 0C72DF76E96FA3C2A227F3FE4A9579F3), y el código del exploit día-cero de Java detectado con “HEUR:Exploit.Java.Agent.gen” (por ejemplo, E441CF993D0242187898C192B207DC25, 70C555D2C6A09D208F52ACCC4787A4E2, E646B73C29310C01A097AA0330E24E7B, 353FD052F2211168DDC4586CB3A93D9F, 32A80AAE1E134AFB3D5C651948DCCC7D) entre otros junto con la prevención AEP de runtime. Entonces, si ves algunos enlaces a Virustotal con quejas sobre un escáner al que le falta una porción de código alterado junto a quejas imprecisas afirmando que “El antivirus dejó de funcionar” o “El antivirus no puede detectarlo”, no les des importancia. La verdadera historia de la explotación masiva del cliente es más compleja que esas quejas. Algunos investigadores llaman a los diversos puntos en un vector de propagación: una cadena de matar, y los productos de Kaspersky lo están matando.

Al mismo tiempo, Oracle debe actuar y publicar un parche OOB, algo en lo que históricamente ha fracasado. Quizás este incidente los presione para acelerar el proceso de publicación de sus actualizaciones de seguridad. Oracle ha reclutado a verdaderos talentos en el área de la seguridad y está abriéndose, lo cual ya es un comienzo. Aunque muy tardío.