Vidéo: Exploitation Using Java RMI Service - Metasploit Minute (Novembre 2024)
Avec le récent exploit zéro jour pour Java, nous battons le tambour "mettre à jour Java maintenant" et jouons le "désactiver tout à fait Java" dans le défilé SecurityWatch . Si cela ne suffisait pas, les nouvelles récentes selon lesquelles la campagne de cyberattaques d'Octobre rouge aurait utilisé un exploit Java ne sont qu'une raison de plus pour suivre le pas.
Le vecteur d’attaque Java a été découvert par Seculert et annoncé mardi sur le blog de la société. Bien que de nombreux attaquants utilisent des exploits Java, cela diffère de ce que l’on savait auparavant sur Red October. Dans le rapport initial de Kaspersky Labs sur la campagne, Red October se caractérisait par le recours à des attaques par courrier électronique extrêmement ciblées par spearphishing avec des fichiers infectés.
"En vectoriel, les attaquants ont envoyé un courrier électronique contenant un lien incorporé vers une page Web PHP spécialement conçue", écrit Seculert. "Cette page Web exploite une vulnérabilité de Java (CVE-2011-3544). En tâche de fond, elle télécharge et exécute automatiquement le programme malveillant."
Pas un nouvel exploit
Il est important de noter que l'attaque Java utilisée par Red October n'est pas l'exploit du jour zéro que nous avons couvert. En fait, Seculert écrit que cette partie de l'attaque Octobre rouge a été écrite vers février 2012, alors que l'exploit qu'il utilise a été corrigé en octobre 2011. C'est pourquoi vous devez garder votre logiciel corrigé et à jour.
Après la parution de l’aspect Java de l’octobre rouge, Kaspersky a publié un suivi fournissant davantage d’informations. "Il semble que ce groupe n'ait pas été fortement utilisé par le groupe", écrit Kaspersky. "Lorsque nous avons téléchargé le php responsable de la gestion de l'archive malcode '.jar', la ligne de code livrant l'exploit java a été commentée."
En essayant de caractériser cet aspect de l'attaque, Kaspersky ne croit pas que cela indique une approche différente d'ici octobre rouge. Au lieu de cela, ils pensent que cela va dans le sens des attaques méthodiques et bien documentées qui sont la marque de fabrique de Red October.
Ce que cela veut dire
"Nous pourrions supposer que le groupe a livré avec succès sa charge utile de logiciels malveillants aux cibles appropriées pendant quelques jours, puis qu'il n'a plus besoin de cet effort", a écrit hier Kaspersky. "Ce qui peut également nous dire que ce groupe, qui a méticuleusement adapté et développé ses outils d'infiltration et de collecte à l'environnement de ses victimes, avait besoin de passer à Java de ses techniques de spearphishing habituelles au début du mois de février 2012."
Kaspersky a ensuite écrit que plusieurs aspects techniques de cette attaque différaient d'autres attaques de Red October, ce qui laisse croire à la société de sécurité que cet exploit a été développé pour une cible spécifique.
C'est un soulagement d'apprendre que l'aspect Java de Octobre rouge n'a pas été utilisé pour cibler un plus grand nombre de victimes. Bien que l'efficacité de cette campagne de cyber-attaques soit terrifiante, ses créateurs se sont concentrés sur des cibles gouvernementales et diplomatiques de premier plan, et non sur des utilisateurs ordinaires. Cependant, cela démontre également que de nombreux exploits logiciels sont bien connus des attaquants, qui tireront parti des utilisateurs paresseux qui fuient leurs mises à jour.
Pour plus de Max, suivez-le sur Twitter @wmaxeddy.
