Si Estas interesado en Colaborar como Autor en el Blog, Enviar DM! con la dirección de Correo.

viernes, 11 de enero de 2013

Nuevo 0-day en Java 7 ampliamente aprovechado por atacantes

9:59 h4rd3vil No comments



Vuelve a ocurrir. Se descubre una grave vulnerabilidad en la última versión de Java que permite la ejecución de código con solo visitar un enlace. El fallo está siendo aprovechado por atacantes para instalar el "virus de la policía" entre otro malware, y esta vez no vale con actualizar. Los atacantes la califican como "regalo de año nuevo".

A media tarde de ayer (hora española) aparecía una alerta de nueva vulnerabilidad en Java 7u10 previamente desconocida@Kafeine no daba detalles entonces, pero se decidió a llamar la atención debido al gran número de puntos en los que detectó que estaba siendo explotada. El fallo ya formaba parte de los kits de explotación Blackhole, Nuclear Pack, Cool Exploit Kit, Sakura... Los atacantes la conocían desde hace tiempo y estaban aprovechando para instalar todo tipo de malware, debido a la amplia difusión de estos kits. Aunque el usuario esté totalmente parcheado, se es vulnerable. Solo se puede esquivar el peligro habiendo tomado medidas adicionales.

Poco después aparecían todos los detalles. Ya existe un módulo para Metasploit, código en pastebin, y otros análisis. Oracle le asigna el CVE-2013-0422. De nuevo, no se trata de un fallo en el código (no hay desbordamientos de memoria, ni funciones mal programadas), sino de una manera inteligente (aprovechando un fallo de diseño) de eludir restricciones impuestas por Java. Se usa MBeanInstantiator para obtener una referencia a una clase en principio restringida, paro hacerlo a través de una función de confianza, y así ejecutar código. Oracle Java 7 Update 10 y todas las versiones anteriores se encuentran afectadas.

Código que aprovecha el fallo en un exploit funcional

Sorprendentemente, los antivirus (por firma y de forma estática) han conseguido un nivel de detección aceptable para una muestra relativamente nueva:

https://www.virustotal.com/file/dcb87472aebdd993bd0c2179c9b5ce930fb1836121bd7aaec5f0b167602fff2b/analysis/

"Paunch", supuesto mantenedor de BlackHole, calificó a la vulnerabilidad de "regalo de año nuevo" para todos sus clientes del kit de explotación. Otros creadores de estos exploits aseguraron poco después que habían sido ellos los primeros en incluir esta vulnerabilidad en su software.

0 comentarios:

Publicar un comentario

Gracias por Comentar.

Twitter Delicious Facebook Digg Stumbleupon Favorites More

 
Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | Bluehost Coupons