Scoperta ennesima falla zero-day in Java sfruttata in attacchi in corso


Gli hacker stanno sfruttando una vulnerabilità sconosciuta e attualmente senza patch nella versione più recente di Java per infettare con malware gli obiettivi, hanno detto ricercatori di sicurezza. La vulnerabilità critica viene sfruttata per installare un trojan chiamato remote-access McRat, hanno avvertito i ricercatori della società di sicurezza FireEye. Gli attacchi lavorano contro le versioni Java 1.6 update 41 e 1.7 update 15, che sono le ultime versioni disponibili del software ampiamente utilizzato.

L'attacco viene attivato quando le persone con una versione vulnerabile del plugin del browser Java visitano un sito web predisposto con il codice di attacco. I ricercatori di FireEye Darien Kindlund e Yichong Lin hanno detto che l'exploit è in uso contro "molti clienti" e che hanno "osservato il successo dello sfruttamento". Attraverso il Malware Protection Cloud (MPC) della società, i ricercatori hanno rilevato una nuova vulnerabilità zero-day (CVE-2013-1493) che viene utilizzata per attaccare più clienti.

"Chiediamo agli utenti di disabilitare Java nel browser fino a quando non sarà rilasciata una patch, in alternativa, settare le impostazioni di sicurezza su 'Alta' e non eseguire alcuna app Java sconosciuta al di fuori della propria organizzazione", hanno scritto i ricercatori. Oracle, azienda ben nota per la sua riluttanza a rilasciare patch fuori calendario, ha rilasciato diversi update di emergenza lo scorso anno, perché i bug erano considerati molti gravi. E' probabile che questo bug stimolerà l'ennesima patch di emergenza.

L'exploit tenta di scaricare un comando e controllo eseguibile McRAT sul computer dell'utente. McRAT assicura la persistenza scrivendo una copia di se stesso come una DLL e apporta le modifiche del Registro di sistema. Fortunatamente per gli utenti web di tutto il mondo, l'exploit "non è molto affidabile", scrivono i ricercatori. In molti casi, il payload non riesce a eseguire e porta ad un crash del JVM. Questa vulnerabilità segue un diffuso attacco 0-day Java contro grandi aziende di tecnologia nel mese di gennaio.

Dopo il successo dello sfruttamento, il malware McRAT (MD5: 4d519bf53a8217adc4c15d15f0815993) viene installato. Secondo VirusTotal, il rapporto di rilevamento corrente per questo malware è 21/46. Il consiglio è quello di disabilitare Java nel browser fino a quando non sarà disponibile una patch. FireEye ha informato Oracle della pericolosità  e continuerà a lavorare con la società su questa nuova scoperta in the wild. Un exploit di successo genera il seguente comando e controllo del traffico HTTP:



Fonte: FireEye
Via: The Register

Nessun commento:

Posta un commento