Vulnerabilidades cada vez mais direcionadas por invasores, dizem pesquisadores

As vulnerabilidades do Java são cada vez mais exploradas pelos invasores para infectar computadores, e o problema pode piorar se a Oracle não fizer mais para proteger o produto e manter sua base de instalação atualizada, de acordo a pesquisadores de segurança que falarão sobre ataques baseados em Java na conferência de segurança Black Hat USA 2012.

Um grande número de computadores é infectado hoje por meio de ataques drive-by-download realizados com a ajuda de kits de ferramentas de exploração da Web - Web mal-intencionado aplicativos desenvolvidos para explorar vulnerabilidades em plug-ins de navegador difundidos como Flash Player, Adobe Reader ou Java.

Java foi adquirida pela Oracle como parte de sua aquisição em 2010 Sun Microsystems

[Leia mais: Como remover malware do seu PC Windows]

Há alguns anos, os plug-ins de navegador mais direcionados eram o Flash Player e o Adobe Reader, mas muitos dos kits de ferramentas de exploração da Web de hoje contam “Jason Jones, um pesquisador de segurança da HP DVLabs, divisão de pesquisa de vulnerabilidades da Hewlett-Packard.

Jones monitorou o desenvolvimento de alguns dos toolkits de exploração da Web mais comumente usados, como Blackhole ou Phoenix, e apresentará suas descobertas na Black Hat na quinta-feira.

Uma tendência clara é que os desenvolvedores de ferramentas de exploração da Web estão cada vez mais focados nas explorações de Java, disse Jones. Eles também estão integrando as explorações de novas vulnerabilidades do Java a um ritmo muito mais rápido do que antes.

Em alguns casos, os invasores reutilizam códigos de exploração que são publicados on-line por pesquisadores de segurança após o Oracle corrigir as vulnerabilidades. No entanto, eles o modificam e aplicam diferentes técnicas de ofuscação para evitar a detecção por produtos de segurança.

"No geral, vimos a quantidade de malware Java aumentando com o tempo, com base em nossa telemetria", Jeong Wook Oh, pesquisador com o Microsoft Malware Protection Center, disse via e-mail. Ah, está programado para falar sobre as recentes tendências de exploração de Java e malware na Black Hat na quinta-feira.

Os cibercriminosos são atraídos pelas explorações de Java, porque eles podem ter taxas de sucesso muito altas. Por exemplo, uma exploração particular integrada a Blackhole em 2011 teve mais de 80% de sucesso, disse Jones.

Isso ocorre porque os usuários não estão implantando as atualizações de segurança disponíveis em tempo hábil, o que será um problema ainda maior. Agora, os invasores estão almejando novas vulnerabilidades do Java mais rapidamente.

A Adobe lidou com taxas de adoção de patch igualmente baixas para o Flash Player e o Adobe Reader, melhorando os mecanismos de atualização desses produtos e até mesmo implementando atualizações automáticas para o Flash Player.

um impacto direto na frequência geral de ataques direcionados aos dois produtos, assim como outras medidas de segurança aprofundadas tomadas pela empresa, como a introdução de um ciclo de desenvolvimento de segurança (SDL) - uma série de revisões de segurança de código e práticas de desenvolvimento que O objetivo é reduzir o número de vulnerabilidades - ou a implementação de tecnologias de sandboxing, disse Carsten Eiram, o principal especialista em segurança em gerenciamento de vulnerabilidades. rm Secunia.

O Java já tem uma sandbox que teoricamente deve conter código de terceiros. No entanto, uma única vulnerabilidade pode quebrar esse modelo de segurança e permitir que atacantes executem códigos maliciosos diretamente no sistema, disse Oh.

O Java tem alguns problemas de segurança bem grandes no nível do código, disse Eiram. Muitas das vulnerabilidades encontradas em Java são básicas e poderiam ser evitadas por um bom programa SDL, disse ele.

Eiram pesquisou os efeitos que o programa SDL da Microsoft teve no Microsoft Office ao longo dos anos e descobriu que isso levou a um significativo declínio no número de vulnerabilidades de estouro de buffer tradicionais encontradas no produto, na medida em que elas são quase inexistentes no Office 2010.

Os pesquisadores concordam que a Oracle precisa tomar ações que tornem o Java um alvo menos atraente para os atacantes.

"A atualização automática em segundo plano proporcionará muitos benefícios se for implementada pela Oracle", disse Oh. "Os invasores estão abusando da lacuna de tempo entre o lançamento do patch e as atualizações do usuário".

A maioria das explorações do Java usadas pelo invasor agora visam vulnerabilidades que já foram corrigidas pelo Oracle. No entanto, Eiram acredita que isso vai mudar e os atacantes logo começarão a atacar vulnerabilidades Java não corrigidas (zero dia) em vez das vulneráveis ​​Flash, que atualmente são um alvo favorito para ataques de dia zero.

A Oracle pode ter dificuldade em lidar tais ataques, porque eles não são um dos fornecedores mais responsivos no momento, disse Eiram. Eles evitam se comunicar abertamente sobre questões de segurança ou confirmar sua existência, mesmo para pesquisadores de segurança que relatam vulnerabilidades a eles, disse ele.

Os fornecedores de software que desenvolvem plug-ins de navegador amplamente distribuídos como Java, Flash ou Adobe Reader têm a responsabilidade de torná-los o mais seguro possível e responder a incidentes de segurança o mais rápido possível, disse Eiram. A Adobe fez muitas melhorias em relação a isso nos últimos anos, mas a Oracle continua muito lenta e sem resposta, afirmou.

"Qualquer software de terceiros com uma grande base de usuários pode ser um possível alvo no futuro", disse Oh. "Mas, desde que você não faça esforços para tornar seu software mais seguro e seu software tenha uma grande base de usuários, não há razão para que os criminosos parem de abusar das vulnerabilidades encontradas em seu software. Isso é especialmente verdadeiro quando os malfeitores podem ter alta taxa de sucesso com essas vulnerabilidades. "

Na falta de ações melhores dos desenvolvedores de plug-ins, alguns fornecedores de navegadores criaram defesas no nível do navegador para proteger seus usuários.

Google O Chrome desativa automaticamente os plug-ins desatualizados que são conhecidos por serem vulneráveis. A Mozilla tem uma lista negra de plug-ins para o Firefox e realmente a usou para bloquear plug-ins Java vulneráveis ​​em abril em resposta a ataques generalizados visando uma vulnerabilidade em versões mais antigas.

Click-to-play é outro recurso do navegador que pode impedir o plug -em ataques porque impede a reprodução automática de conteúdo baseado em plug-in. O recurso já está presente no Chrome e atualmente está sendo incorporado ao Firefox.

Jones recomendou que os usuários ativassem o clique para reproduzir, quando disponível em seu navegador. Outra abordagem defensiva é excluir o plug-in Java completamente, se não for necessário, disse ele.

Infelizmente, nem todos podem fazer isso, especialmente em um ambiente de negócios, onde o Java é necessário para muitos aplicativos internos. Por exemplo, alguns bancos ainda têm seus sistemas de e-banking construídos em torno de Java, disse Eiram.