Penjahat dunia maya menggunakan eksploitasi Java yang ditandatangani secara digital untuk mengelabui pengguna

Para peneliti keamanan memperingatkan bahwa penjahat dunia maya telah mulai menggunakan eksploitasi Java yang ditandatangani dengan sertifikat digital untuk mengelabui pengguna agar mengizinkan kode berbahaya berjalan di dalam browser.

Eksploitasi Java yang ditandatangani ditemukan pada hari Senin website milik Universitas Teknologi Chemnitz di Jerman yang terinfeksi dengan toolkit eksploitasi Web yang disebut g01pack, peneliti keamanan Eric Romang mengatakan pada hari Selasa di sebuah posting blog.

"Sudah pasti paket go01," Jindrich Kubec, direktur intelijen ancaman di vendor antivirus Avast, mengatakan melalui email. Contoh pertama dari eksploit Java yang ditandatangani ini terdeteksi pada 28 Februari, katanya.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Tidak segera jelas apakah eksploitasi ini menargetkan kerentanan baru atau cacat Java lama yang telah ditambal. Oracle merilis pembaruan keamanan Java baru pada hari Senin untuk mengatasi dua kerentanan kritis, salah satunya sedang aktif dieksploitasi oleh penyerang.

Eksploitasi Java secara tradisional telah disampaikan sebagai applet-aplikasi Java Web unsigned. Pelaksanaan applet semacam itu biasanya diotomatiskan dalam versi Java yang lebih lama, yang memungkinkan peretas untuk meluncurkan serangan unduhan drive-by yang benar-benar transparan bagi para korban.

Pengaturan pemeriksaan pencabutan sertifikat di Java 7

Dimulai dengan rilis Januari Java 7 Update 11, kontrol keamanan default untuk konten Java berbasis web diatur ke tinggi, mendorong pengguna untuk konfirmasi sebelum applet diizinkan untuk berjalan di dalam browser, terlepas dari apakah mereka secara digital ditandatangani atau tidak.

Yang mengatakan, menggunakan eksploit-eksploit bertanda tangan pada yang tidak bertanda tangan memberikan manfaat bagi penyerang, karena dialog konfirmasi yang ditampilkan oleh Java dalam dua kasus itu sangat berbeda. Dialog untuk applet Java unsigned sebenarnya berjudul "Peringatan Keamanan."

Penandatanganan digital adalah bagian penting dari meyakinkan pengguna bahwa mereka dapat mempercayai kode Anda, Bogdan Botezatu, analis e-ancaman senior di vendor antivirus Bitdefender, mengatakan melalui email. Dialog konfirmasi ditampilkan untuk kode yang ditandatangani jauh lebih diskrit dan kurang mengancam daripada yang ditampilkan dalam kasus kode unsigned, katanya.

"Selain itu, Java itu sendiri memproses kode yang ditandatangani dan tidak ditandatangani secara berbeda dan memberlakukan pembatasan keamanan secara tepat," Botezatu kata. Sebagai contoh, jika pengaturan keamanan Java diatur ke "sangat tinggi," applet unsigned tidak akan berjalan sama sekali, sementara applet yang ditandatangani akan berjalan jika pengguna mengkonfirmasi tindakan. Di lingkungan perusahaan di mana pengaturan keamanan Jawa sangat tinggi diberlakukan, penandatanganan kode mungkin satu-satunya cara bagi penyerang untuk menjalankan applet berbahaya pada sistem yang ditargetkan, katanya.

Contoh peringatan keamanan untuk applet Java yang ditandatangani di Java 7 Update 17

Eksploitasi Java baru ini juga telah mengungkap fakta bahwa Java tidak memeriksa pencabutan sertifikat digital secara default.

Eksploitasi yang ditemukan oleh para peneliti Senin ditandatangani dengan sertifikat digital yang kemungkinan besar dicuri. Sertifikat dikeluarkan oleh Go Daddy ke sebuah perusahaan bernama Clearesult Consulting yang berbasis di Austin, Texas, dan kemudian dicabut dengan tanggal 7 Desember 2012.

Pencabutan sertifikat dapat berlaku surut dan tidak jelas kapan tepatnya Go Daddy menandai sertifikat untuk pencabutan. Namun, pada 25 Februari, tiga hari sebelum sampel tertua dari eksploit ini terdeteksi, sertifikat itu sudah terdaftar sebagai dicabut dalam daftar pencabutan sertifikat yang diterbitkan oleh perusahaan, Kubec mengatakan. Meskipun demikian, Java melihat sertifikat sebagai valid.

Pada tab "Advanced" dari panel kontrol Java, di bawah kategori "Advanced security settings", ada dua opsi yang disebut "Periksa sertifikat untuk pencabutan menggunakan Daftar Pencabutan Sertifikat (CRLs) "Dan" Aktifkan validasi sertifikat online "- opsi kedua menggunakan OCSP (Protokol Status Sertifikat Online). Kedua opsi ini dinonaktifkan secara default.

Oracle tidak memiliki komentar tentang masalah ini pada saat ini, agen PR Oracle di Inggris mengatakan Selasa melalui email.

"Mengorbankan keamanan untuk kenyamanan adalah pengawasan keamanan yang serius, terutama karena Java telah menjadi bagian pihak ketiga yang paling ditargetkan perangkat lunak sejak November 2012, ”kata Botezatu. Namun, Oracle tidak sendirian dalam hal ini, kata peneliti, mencatat bahwa Adobe mengirim Adobe Reader 11 dengan mekanisme sandbox yang penting dinonaktifkan secara default karena alasan kegunaan.

Baik Botezatu dan Kubec yakin bahwa penyerang akan semakin mulai menggunakan Java yang ditandatangani secara digital. eksploit untuk melewati pembatasan keamanan baru Java dengan lebih mudah. ​​

Perusahaan keamanan Bit9 baru-baru ini mengungkapkan bahwa peretas mengkompromikan salah satu sertifikat digitalnya dan menggunakannya untuk menandatangani malware. Tahun lalu, peretas melakukan hal yang sama dengan sertifikat digital yang disusupi dari Adobe.

Insiden dan pengeksploitasi Java baru ini adalah bukti bahwa sertifikat digital yang sah dapat berakhir dengan penandatanganan kode berbahaya, kata Botezatu. Dalam konteks ini, secara aktif memeriksa pencabutan sertifikat sangat penting karena ini adalah satu-satunya mitigasi yang tersedia dalam kasus kompromi sertifikat, katanya.

Pengguna yang memerlukan Java di browser setiap hari harus mempertimbangkan memungkinkan pemeriksaan pencabutan sertifikat menjadi lebih baik melindungi terhadap serangan yang mengeksploitasi sertifikat yang dicuri, kata Adam Gowdiak, pendiri firma riset keamanan kerentanan Polandia, melalui email. Penjelajah Keamanan peneliti telah menemukan dan melaporkan lebih dari 50 kerentanan Java pada tahun lalu.

Meskipun pengguna harus secara manual mengaktifkan opsi pencabutan sertifikat ini, banyak dari mereka mungkin tidak akan melakukannya karena mereka tidak menginstal pembaruan keamanan, Kubec mengatakan. Peneliti berharap bahwa Oracle akan mengaktifkan fitur secara otomatis di masa depan pembaruan.