Активное использование эксплойтов 0-day для Java, которое наблюдается и предотвращается нами вот уже целую неделю, чересчур активно и опрометчиво обсуждалось в интернете, а некоторые посты в блогах содержали ссылки на ресурсы, обслуживающие эти эксплойты. В действительности, подобное стремление раньше всех высказать свою точку зрения на проблему безответственно (кстати, уязвимости присвоен номер CVE-2012-4681 – проблема обработки контроля доступа в рамках «защитных доменов»). Скажите, вы бы посоветовали беззащитным прохожим идти по темной улице, на которой, как вы точно знаете, орудуют преступники? Или вы все-таки сообщите «куда следует» о местонахождении опасных элементов и, может быть, даже позаботитесь, чтобы улицы вашего района были хорошо освещены? Ну, или как минимум, вы просто предложите прохожему пойти другим маршрутом? В общем, на этот раз все попытки оказались не вовремя и не к месту…

Но так или иначе, первоначально сайты, на которых размещались эксплойты, были единичны и распространяли уже известные компоненты для APT, в том числе версию Poison Ivy. Ниже представлена карта ранней стадии активности компонента Poison Ivy, несколько удивляющая нас результатами:

А это карта фиксирует первые вспышки заражения Java-эксплойтами посредством веб-страниц и Java-скриптов:

Все вредоносные программы данной тематики, которые мне встречались, были нацелены на Windows. Эскплойты эффективны против Java 7. Со времени первых направленных атак информация об эксплойтах и их экземпляры успели попасть в руки специалистов по IT-безопасности, вот только за дело взялись разработчики Metasploit, которые добавили PoC в свою базу. А авторы BlackHole, в свою очередь, добавили эксплойт в свои пакеты COTS. Таким образом, эти атаки сразу стали распространенным явлением. Первыми жертвами команды Blackhole стали Соединенные Штаты, Россия, Беларусь, Германия, Украина и Молдова. Но, поскольку в пакет от Blackhole входят и разные другие эксплойты, удары по пользователям конкретно с помощью 0-day эксплойтов наносятся не всегда. Чаще всего страдают пользователи Internet Explorer, за ними следуют пользователи Firefox, Chrome и Opera, а замыкают список еще несколько приложений, имеющих дело с URL-ссылками внутри своих файлов и в конечном итоге направляющих вредоносные .jar-файлы в Java-клиенты, например, в Adobe Reader.

Для определения вредоносных сайтов и веб-страниц, кода эксплойта и вредоносного контента, получаемого с таких сайтов, мы используем ряд методик и техник. И хотя конкретно этот 0-day для Java становится повсеместно известным, мы все чаще детектируем и блокируем на системах пользователей и эксплойты постарше, также используемые в пакете Blackhole. Таким образом, пользователи «Лаборатории Касперского» так или иначе защищены от сайтов Blackhole и веб-страниц, обслуживающих 0-day эксплойт для Java, а также от взломанных сайтов, перенаправляющих посетителей на сайты Blackhole; от огромного числа предыдущих эксплойтов Blackhole и их сайтов, и от троянцев, получаемых через эти страницы. Ко всему прочему, модуль Kaspersky Advanced Exploit Prevention создает дополнительный уровень защиты против эксплойтов 0-day с помощью "Exploit.Java.Generic".

Лично для меня это дополнение наиболее интересно – авторы эксплойт-паков всегда концентрировались на улучшении серверного полиморфизма эксплойтов Java, а вышеописанная функция предотвращает эти попытки. Таким образом, доступ наших пользователей к сайтам Blackhole полностью блокируется, а с помощью компонента Advanced Exploit Prevention еще и предотвращаются любые попытки работы эксплойта. Отдельные веб-страницы Blackhole детектируются как "Trojan-Downloader.JS.Agent" в нескольких вариациях, бэкдоры детектируются как "Trojan.Win32.Generic" и т.п. (то есть, 61A3CE517FD8736AA32CAF9081F808B4, DEC9676E97AE998C75A58A02F33A66EA, 175EFFD7546CBC156E59DC42B7B9F969, 0C72DF76E96FA3C2A227F3FE4A9579F3). В свою очередь, Java 0day эксплойт выделяется среди других эксплойтов как "HEUR:Exploit.Java.Agent.gen" (то есть E441CF993D0242187898C192B207DC25, 70C555D2C6A09D208F52ACCC4787A4E2, E646B73C29310C01A097AA0330E24E7B, 353FD052F2211168DDC4586CB3A93D9F, 32A80AAE1E134AFB3D5C651948DCCC7D).

Так что, когда на Virustotal вы встретите неизбежные жалобы, что сканер не может найти часть измененного кода, или неточные выводы вроде «Антивирус неисправен!» или «Антивирус этого не детектирует!», не обращайте внимания. Потому что на самом деле вся эта история с массовыми client-side эксплойтами гораздо сложнее и глубже, чем эти жалобы.

В то же самое время, Oracle не мешало бы принять меры и выпустить специальный патч, что они, по традиции, не делают. Может быть случившееся привлечет внимание разработчиков к проблеме усовершенствования процесса обновлений безопасности. Они привлекли хорошие ресурсы, и теперь лед должен тронуться — лучше поздно, чем никогда.

Рыночная доля! Это очевидный, но не единственный возможный ответ.

По различным оценкам в 2011 году на долю компании Apple приходилось более 5% персональных компьютеров/ноутбуков по всему миру. Это достаточно серьезная доля рынка: ОС Linux установлена менее чем на 2% всех компьютеров, а доля Google ChromeOS и того меньше. Достижение компьютерами на базе Mac OS максимального уровня популярности за последние 15 лет совпало по времени с появлением атак с использованием фальшивых антивирусов, нацеленных на компьютеры Apple. Мы обнаружили атаку и написали о ней в блоге в апреле, а потом снова в мае 2011 года. Теперь это совпадение уже не кажется странным. Кстати, то, что вредоносное ПО для компьютеров Apple стало распространенным именно сейчас, скорее всего, не связано с тем, что раньше не было эксплойтов для Apple или с тем, что в системе Mac OS X уделяется какое-то особенное внимание безопасности. Во время «Месяца багов Apple» (Month of Apple Bugs), прошедшего в 2007 году, было показано, что Mac OS X и код, написанный для этой системы, полны уязвимостей, которые злоумышленники вполне могут использовать. На хакерских конкурсах регулярно создаются эксплойты для Safari, Quicktime и других программ, установленных на устройствах Apple. И все же до прошлого года система не привлекала внимания широких масс киберпреступников.

В конце прошлой недели мы обнаружили признаки связи между троянцем-бэкдором для Mac OS X и APT-атакой, известной под названием LuckyCat. IP-адрес командного сервера (C&C), с которым соединяется данный бот (199.192.152.*), использовался также в 2011 году некоторыми вредоносными программами для Windows, из чего мы сделали вывод, что за всеми этими атаками стоит одна и та же группа киберпреступников.

В течение двух дней мы вели мониторинг «фальшивой» зараженной системы — это обычная наша практика, когда дело касается ботов, используемых в APT-атаках. Нетрудно вообразить наше удивление, когда на выходных киберпреступники, управляющие APT-атакой, взяли под свой контроль нашу «зараженную» машину и принялись ее исследовать.

В пятницу, 13 апреля был закрыт порт 80 на командном сервере по адресу rt*****.onedumb.com, размещенном на виртуальном выделенном сервере (VPS), находящемся в г. Фремонт (Калифорния) в США. В субботу порт был открыт, и бот вышел на связь с командным сервером. В течение всего дня трафик формировали только handshake- и служебные пакеты.

Утром воскресенья 15 апреля характер трафика, генерируемого C&C, поменялся. Злоумышленники перехватили соединение и принялись за анализ нашего фальшивого компьютера-жертвы. Они вывели список файлов корневой и домашней папок и даже украли некоторые из размещенных нами на компьютере в качестве приманки документов!

На прошлой неделе Apple выпустил два срочных обновления для Mac OS X, предназначенных для:

1. Удаления зловреда Flashback, о котором мы уже писали.
2. Автоматического отключения Java-плагина для браузера и фреймворка Java Web Start, что по сути означает отключение поддержки Java-апплетов в браузерах.

Необходимость второго шага связана с высокой степенью опасности уязвимости CVE-2012-0507, эксплуатируя которую Flashback смог заразить почти 700 000 пользователей через drive-by загрузки вредоносных программ.

Собственно, решение выпустить эти обновления было правильным. Мы может подтвердить, что в настоящее время через Java-эксплойты в дикой среде распространяется еще один зловред для Mac – Backdoor.OSX.SabPub.a.

Эта новая угроза представляет собой бэкдор для OS X, судя по всему, специально созданный для использования в целевых атаках. После активации в зараженной системе он соединяется с удалённым веб-сайтом для получения инструкций по классической схеме бот – командный сервер (C&C). Бэкдор содержит функционал для снятия скриншотов текущей сессии пользователя и выполнения команд на зараженном компьютере.

Из-за недавней шумихи по поводу Duqu прошел незамеченным выпуск Oracle множества критических обновлений (см. раздел «Ссылки по теме» в правом верхнем углу страницы). Самое интересное, хотя, пожалуй, не самое важное с практической точки зрения – это обновление Java SE BEAST. Oracle утверждает, что закрыла 57 различных уязвимостей в своей продуктовой линейке, включая патчи для Java и Sun Ray – решение на основе виртуализации. Но самый интересный повод для обсуждения – это выпуск патча, закрывающего уязвимость CVE-2011-3389, т.е. бреши в JSSE.

На конференции Ekoparty в Аргентине, о которой мы писали в прошлом месяце, группа исследователей BEAST показала новый эксплойт для взлома SSL/TLS-сессий с использованием методики, описанной почти десять лет назад. Понятно, что интерес представляет не описание идеи, а ее реализация, так что эта демонстрация на многих произвела впечатление, а крупным производителям ПО прибавила работы. Среди этих производителей был и Oracle, поскольку продемонстрированный эксплойт использовал уязвимости в Java-коде (исследователи утверждали, что в коде Microsoft Silverlight и Javascript также имеются уязвимости, но эксплойты для них в этот раз не были представлены. К сожалению, код разработанного BEAST эксплойта для уязвимости Silverlight опубликован в сети). Эксплойт чуть не привел к еще более печальным последствиям, когда Mozilla заговорила о возможности блокировать в своих браузерах использование любых Java-надстроек: «В данный момент мы рассматриваем возможность полностью заблокировать Java во всех установках Firefox на компьютерах пользователей. Если мы примем такое решение, то сообщим об этом дополнительно». Несколько странно то, что Oracle довольно низко оценила важность этого обновления, оценив его на 4,3 балла по десятибалльной шкале, где 10 баллов соответствуют уязвимостям, представляющим наибольшую опасность.

В то же время Oracle выпустила шесть разных патчей для Java, оцененных на 10 баллов каждый; из них четыре для недавно выпущенной Java 7. Патчи затрагивают архитектуру самой JRE, AWT, десериализацию и скриптовые компоненты JRE.

По моему опыту, Sun Ray, решение Oracle на основе виртуализации, широко используется в корпоративных облачных сервисах, и администраторам «облака» нужно знать, что производитель выпустил для этой платформы патч, закрывающий уязвимость CVE-2011-3538 и устраняющий связанные с ней проблемы с аутентификацией.

Компания Oracle 17 апреля планирует выпустить 37 «заплаток» для своих программных продуктов, сообщает сайт The Register. Данный релиз пройдет в рамках ежеквартального обновления.

Патчи будут выпущены для пока еще не описанных брешей в Oracle Database, Application Server, E-Business Suite. 13 обновлений приходится на разные версии СУДБ Oracle. Три «заплатки» являются особо важными, поскольку ликвидируют уязвимости, которые хакеры могут эксплуатировать, не имея данных об учетных записях пользователей. 2 из 11 брешей в E-Business suite также могут быть удаленно взломаны, предупреждает Oracle в пресс-релизе.

В октябре прошлого года компания начала ранжировать собственные программные бреши по степени их серьезности в соответствии с общей системой учета уязвимостей (CVSS). CVSS — широко распространенная в IT-индустрии методика, предназначенная для стандартизации рейтингов уязвимостей.

Набор патчей этого квартала Oracle оценивает в 7 баллов по 10-бальной шкале (максимально возможные 10 означают грядущую Интернет-катастрофу). Аналогичную оценку получил и предыдущий, январский набор «заплаток», число которых составило 31. На сей раз системным администраторам придется иметь дело с 37 патчами.

В рамках ежеквартального обновления своих продуктов компания Oracle выпустила во вторник около трех десятков патчей, сообщает сайт News.com. 14 патчей устраняют бреши в СУБД Oracle, 5 — в наборе коммуникационных приложений Collaboration Suite, 15 — в комплексе бизнес-приложений E-Business Suite, 2 — в продукте для комплексного управления промышленной средой Enterprise Manager и по одной бреши ликвидировано в сервере приложений, ERP-системе JD Edwards и веб-портале PeopleSoft.

В дополнение к патчам Oracle внесла «существенные» изменения в существующую утилиту для проверки дефолтных логина и пароля. Утилита была выпущена в январе в качестве контрмеры для червя Oracle voyager, который использовал дефолтные идентификационные данные.

Oracle уже неоднократно подвергалась критике за медленное устранение брешей в системе безопасности своих продуктов и отказ сотрудничать с независимыми экспертами, находящими бреши в продуктах компании. В свою очередь, глава службы безопасности Oracle Мэри Энн Дэвидсон (Mary Ann Davidson) заявила, что независимые эксперты сами могут быть проблемой для программных продуктов.

Впрочем, в своем последнем бюллетене Oracle упоминает ряд сторонних экспертов, сообщивших компании об уязвимостях в ее продуктах. В их число вошли Александр Корнбруст (Alexander Kornbrust) из Red Database Security — немецкой компании, специализирующейся только на безопасности Oracle, Эстебан Мартинес Файо (Esteban Martinez Fayo) из Application Security — американской компании, специализирующейся на безопасности СУБД и Дэвид Личфилд (David Litchfield) из Next Generation Security Software (NGS) — британской компании, разрабатывающей программные решения для крупных корпоративных клиентов.

В рамках регулярного обновления программного обеспечения компания Oracle в минувший вторник выпустила целый ряд патчей для своих продуктов, сообщает сайт News.com. Пакет обновлений устраняет 37 брешей и уязвимостей в СУБД Oracle. 17 из них касаются сервера приложений, 20 — набора коммуникационных приложений Collaboration Suite, 27 — комплекса бизнес-приложений E-Business Suite.

Некоторые из брешей имеют самый высокий статус опасности по оценке самой Oracle, что означает — ими можно воспользоваться для проведения хакерской атаки.

Наряду с выпуском патчей Oracle четко описывает бреши, для которых эти патчи созданы. Это позволяет пользователям значительно легче разобраться с проблемами в СУБД. В дополнение к патчам Oracle выпустила утилиту для проверки дефолтных учетных записей и паролей. Утилита должна помочь владельцам баз данных защититься от червя Oracle voyager, который как раз пользуется дефолтными значениями баз Oracle.

После выпуска пакета патчей Oracle производитель антивирусов Symantec поднял свой уровень глобальных угроз до значения 2. Это означает, что эксперты Symantec ожидают всплеска инцидентов в области информационной безопасности, связанных с брешами в Oracle. Традиционно после выпуска патчей хакеры активно проводят атаки, чтобы испытать обновленные системы на прочность.

Oracle долгое время подвергалась критике за медленную реакцию на известия о брешах в своих продуктах. Свое недовольство компанией выражали и независимые исследователи, которые сообщали Oracle об обнаруженных ими недостатках и не получали никаких ответов. Главный специалист Oracle по информационной безопасности Мэри Энн Дэвидсон (Mary Ann Davidson), в свою очередь, заявляла, что исследователи, занимающиеся поиском брешей, сами представляют определенную проблему для безопасности продукта. В связи с чем Oracle недавно огласила свое намерение автоматизировать процесс поиска уязвимостей и дефектов в своем программном обеспечении.

Oracle не заинтересована в том, чтобы устранять сбои в работе своих продуктов и выпускать для них обновления. Такое заявление сделал эксперт по информационной безопасности компании Red Database Security Александр Корнбраст (Alexander Kornbrust). «Если вы полагаете, что нуждаетесь в обновлении от Oracle, вам нужно обращаться в Oracle», — приводит слова Корнбраста сайт Vnunet.com.

По данным Red Database Security, обновления для некоторых уязвимостей в продуктах Oracle должны были быть выпущены два года назад. Уязвимости, в частности, обнаружены в Oracle Forms и Oracle Reports, входящих в состав серверов приложений и наборов разработчика Oracle 9i и 10g.

Датская компания Secunia, занимающаяся исследованиями в области информационной безопасности, оценивает уязвимости Oracle как умеренно критические (3 балла по 5-бальной шкале). По меньшей мере, одна из уязвимостей позволяет хакерам установить контроль над системой, работающей под управлением Oracle.

Представители Red Database Security утверждают, что направили в Oracle письмо-напоминание об уязвимостях 15 апреля. Эксперты Red Database пообещали опубликовать детальную информацию об уязвимостях, если компания не выпустит патчи для них до июля. Разработчики СУБД никакой информации о патчах не опубликовали, и Корнбраст в итоге выполнил свое обещание.

Пресс-секретарь Oracle заявил, что компания реагирует на обнаружение уязвимостей в своих продуктах «так быстро, насколько это возможно» и отметил, что Корнбрасту было бы лучше подождать.