Avisos 04 de March, 2013

Vulnerabilitat 0-day a la màquina virtual Java

S'ha detectat una altra vulnerabilitat de tipus 0day (sense pegat disponible) a la màquina virtual Java. La vulnerabilitat és de nivell crític, ja que permet l'execució de codi de forma remota, i està sent explotada activament per part de cibercriminals en atacs dirigits.

 

Actualització 11/3/2013: Oracle ha publicat un avís de seguretat amb la corresponent actualització per solucionar la vulnerabilitat detectada.

Impacte

 
Execució remota de codi.
 
Productes afectats
 
Oracle Java 7 (1.7), actualització 15 i anteriors.
Oracle Java 6 (1.6), actualització 41 i anteriors.
 
Solució
 
Actualització 11/3/2013: Oracle ha publicat un avís de seguretat per solucionar la vulnerabilitat detectada. L'actualització estava programada per al proper 16 d'abril, però la detecció de l'ús actiu de la vulnerabilitat en activitats malicioses ha provocat que el fabricant hagi decidit avançar-la.
Es recomana actualitzar a les noves versiones de Java el més aviat possible. La notificació d'actualització apareixerà automàticament, si l'opció corresponent està habilitada (molt recomanable). Per activar aquesta opció, cal accedir a Tauler de Control>Java>Pestanya "Actualitzacions">Avançada, on també és possible executar la comprovació d'actualització manualment.
 
Com que els complements Java des actualitzats són una de les vies d'explotació i infecció més utilitzades, CESICAT recomana reduir el període de comprovació d'actualitzacions predeterminat (un cop al mes) a un període més curt, per exemple diàriament.
 
Com a mesures de mitigació, es recomana, per aquest ordre:
 
Desinstal•lar Java, si no és imprescindible per al seu ús. És especialment recomanable desinstal•lar versions antigues i deixar només la més recent.
Desactivar completament els complements de Java per al navegador, si es necessita Java només per aplicacions externes. El fabricant proporciona instruccions per realitzar aquesta configuració en el següent enllaç:
Activar la funcionalitat de "fer clic per executar" (click-to-play) disponible als navegadors més populars. Limitar l'execució automàtica del complement Java als llocs de confiança estrictament necessaris. 
Internet Explorer, hi ha dues opcions: 
Menú Eines-> Gestió de complements 
A la Gestió de complements, seleccionar Mostrar: Tots els complements.
Als complements Java Plug-in, fer doble clic
Fer clic a "Suprimeix a tots els llocs" i "Tancar".
Personalitzant el nivells de seguretat per la Zona Internet: 
Menú Eines -> Opcions d'Internet, pestanya Seguretat.
A la Zona de Internet, fer clic a Nivell Personalitzat.
A la secció Automatització->Automatització d'applets de Java, marcar l'opció "Preguntar".
Mozilla Firefox 
Instal•lant l'extensió NoScript mitjançant el gestor d'extensions (opció recomanada) 
Menú Firefox -> Complements.
Cercar "NoScript" al camp de cerca a dalt a la dreta.
Fer clic a "Instal•lar".
Activant la funcionalitat "fer clic per reproduir", mitjançant del menú "about:config". 
Escriure "about:config" a la barra de direccions.
Cercar l'opció "plugins.click_to_play" i fer doble clic per activar (True).
 
Detall
 
L'identificador CVE assignat a aquesta vulnerabilitat és el CVE-2013-1493. La vulnerabilitat ha estat descoberta perquè està sent explotada activament en atacs investigats per part de companyies de seguretat (FireEye, CyberESI).
 
A diferència de les últimes vulnerabilitats descobertes en Java, aquesta vulnerabilitat permet sobreescriure la zona de memòria on es troben l'estructura de dades internes de la JVM. Un cop explotada la vulnerabilitat pel fitxer JAR, el exploit detectat localitza la ubicació memòria on es troben les dades d'estructura interna de la màquina virtual, com per exemple la opció de si el gestor de seguretat es troba activat, i la sobreescriu amb valors "zero".
 
Als atacs detectats, es descarrega un codi maliciós anomenat McRAT (MD5: b6c8ede9e2153f2a1e650dfa05b59b99 amb el nomsvchost.jpg), des del mateix servidor on es troba el fitxer JAR. Un cop executat, fa una sol•licitud HTTP, crea una còpia de si mateix al fitxer "C:\Documents and Settings\admin\AppMgmt.dll" i crea entrades al registre de Windows per garantir la seva permanència al sistema.
 
Referències
 
Article al bloc de l'empresa de seguretat FireEye
Més informació al lloc web de Symantec
 
Publicat a: Avisos