Crackers integram exploit a kits e atacam vulnerabilidade Java já corrigida

Exploit tem como alvo vulnerabilidade crítica que afeta todas as versões do Java anteriores ao Java 7 Update 25 e permite a execução remota de código.

Os cibercriminosos foram rápidos para integrar um exploit recém-lançado para uma vulnerabilidade Java corrigia em junho a uma ferramenta usada para lançar ataques em massa contra os usuários, informou um pesquisador independente de malware.

O código malicioso tem como alvo uma vulnerabilidade crítica identificada como CVE-2013-2465, que afeta todas as versões do Java anteriores ao Java 7 Update 25 e permite a execução remota de código. A falha foi corrigida pela Oracle durante a June Critical Patch Update for Java.

O exploit foi divulgado na segunda-feira (12) pela equipe de pesquisa em segurança da Packet Storm Security, que originalmente o adquiriu por meio do seu programa de recompensas de bugs como um exploit 0-day - um exploit para uma vulnerabilidade não corrigida.

A Packet Storm publicou os exploits que adquiriu 60 dias após recebê-los, com a permissão de seus autores, para que outros profissionais de segurança pudessem usá-los para realizar testes de penetração e avaliações de risco de segurança.

Dois dias depois do seu lançamento, o exploit CVE-2013-2465 já foi integrado nos chamados kits de exploração - ferramentas de ataque que infectam computadores com malware, explorando as vulnerabilidades em um software desatualizado quando os usuários visitam páginas comprometidas.

Um pesquisador independente de malware que usa o pseudônimo Kafeine identificou uma instalação ao vivo do kit de exploração Styx, anteriormente conhecido como Kein, que está usando o tal novo exploit.

Do ponto de vista de um atacante, o exploit para a CVE-2013-2465 é melhor do que o exploit para a CVE-2013-2460 - outra vulnerabilidade Java também corrigida em junho, que foi recentemente integrada a um kit de ferramentas de ataque diferente chamado Private Exploit Pack, disse Kafeine nesta quinta-feira, em um post no seu blog. 

A Oracle encerrou o suporte público para o Java 6 em abril e não vai mais lançar atualizações de segurança para ele. Apesar disso, o Java 6 ainda é amplamente utilizado, especialmente em ambientes corporativos.

Um estudo recente da empresa de segurança Bit9 mostrou que mais de 80% dos computadores corporativos possuem o Java 6 instalado. A versão Java mais amplamente implantada nesses sistemas foi a Java 6 Update 20.

A última versão disponível publicamente do Java 6 é o Java 6 Update 45, que também é afetada pelo CVE-2013-2465. A vulnerabilidade foi corrigida no Java 6 Update 51, mas esta versão está disponível somente para os usuários que estenderam os contratos de suporte com a Oracle.

O fato de que um exploit para CVE-2013-2465 estar disponível ao público e já ter sido integrado a toolkits de ataque em massa sugere que essa brecha em breve presenciará uma exploração generalizada. 

Os usuários que ainda precisam atualizar para o Java 7 Atualização 25 podem querer fazê-lo o mais breve possível.

Isso porque a CVE-2013-2465 afeta tanto o Java 6 quanto o 7, enquanto que a CVE-2013-2460 só afeta o Java 7, disse ele.

Referências:

Read More

EUA desmontam rede cracker de crimes financeiros

Cinco "crackers" russos e um ucraniano foram acusados nesta quinta-feira de piratear informações de grandes corporações americanas, como a Bolsa de Valores Nasdaq e o banco Citibank, e roubar centenas de milhões de dólares, no maior crime cibernético dos Estados Unidos da história.

Segundo informaram as procuradorias de Nova Jersey e Nova York, que dividem a acusação contra a rede, os acusados atuaram em corporações dedicadas às transações financeiras, no varejo que recebem e transmitem dados financeiros e outras instituições de informação.

As corporações afetadas pelo plano de pirataria foram a Bolsa de Valores Nasdaq, o índice Dow Jones e as empresas 7 Eleven, Carrefour, JCP, Hannaford, Heartland, Wet Seal, Commidea, Dexia, JetBlue, Euronet, Visa Jordan, Global Payment, Diners Club Singapore e Ingenicard, nas acusações de Nova Jersey, assim como os bancos Citibank e PNC, em Nova York.

"Os acusados são supostamente responsáveis de liderar uma conspiração mundial de 'crackers' que atacou uma grande variedade de consumidores e entidades, causando centenas de milhões de dólares em perdas", explicou em comunicado o fiscal federal de Nova Jersey, Paul Fishman.

"Os criminosos cibernéticos põem todo seu empenho em atacar não apenas as contas de banco privadas, mas ao sistema financeiro em si mesmo", assegurou, por sua vez, o fiscal federal do distrito sul de Nova York, Preet Bahrara.

Os acusados, que têm entre 26 e 32 anos, são o ucraniano Mikhail Rytikov e os russos Vladimir Drinkman, Roman Kotov, Dimitriy Smilianets (acusados em Nova Jersey), Nicolay Nasenkov (para quem foram apresentadas acusações em Nova York) e Aleksandr Kalinin, que tem causas abertas em ambas as procuradorias.

Deles, dois foram detidos, um extraditado e outros três continuam em paradeiro desconhecido. Também foi relacionado como conspirador Albert González, que atualmente cumpre pena de 20 anos de prisão por ter participado de outra trama de roubo virtual.

A complexa trama de fraude bancária, roubo de identidade e invasão cibernética, entre outros crimes, registrou US$ 160 milhões a seus executores por roubo de dados de cartão de crédito e US$ 300 milhões em perdas registradas por apenas três das empresas afetadas, segundo a procuradoria de Nova Jersey.

Em sua atuação conjunta, Naskov e Kalinin obtiveram, de dezembro de 2005 a novembro de 2008, dados das contas e PINs de cartões dos clientes do Citibank e do PNC, que se traduziram em um prejuízo de US$ 7,8 milhões, além de acessar os computadores de Nasdaq, roubar e manipular seus dados, apesar de não acessarem os dados de compra e venda de valores.

As penas máximas que os acusados receberam são de entre 35 e 70 anos de prisão, com exceção de Kalinin e Nasenkov, que receberam penas superiores a 100 anos de prisão.

Fonte: Revista Info

Read More

Nova vulnerabilidade do Java 7 abre portas para ataque de 10 anos de idade

Falha permite a crackers contornar a sandbox do software e executar um código arbitrário no sistema subjacente.

 

Pesquisadores da empresa de pesquisa de vulnerabilidades Security Explorations afirmam ter identificado uma nova vulnerabilidade no Java 7, que pode permitir a atacantes contornar a sandbox (mecanismo de segurança) do software e executar um código arbitrário no sistema subjacente.

A vulnerabilidade foi divulgada na quinta-feira (18) para a Oracle, juntamente com o código prova de conceito (PoC), disse Adam Gowdiak, CEO e fundador da Security Explorations, em uma mensagem no fórum Full Disclosure.

De acordo com Gowdiak, a vulnerabilidade está localizada na Reflection API (application programming interface), um recurso que foi introduzido no Java 7 e que tem sido fonte de muitas vulnerabilidades críticas no software até o momento. A empresa de segurança confirmou que o código de exploração PoC funciona no Java SE 7 Update 25 e versões anteriores, disse.

O novo problema identificado pela Security Explorations pode permitir a crackers executar um ataque "clássico", conhecido há pelo menos 10 anos, disse Gowdiak. Este tipo abordagem costumava ser usada para afetar a máquina virtual (VM) Java em seus primeiros dias, no final dos anos 90, disse via e-mail.

"É um desses riscos os quais deve-se proteger, em primeiro lugar, quando novos recursos são adicionados ao Java no nível VM núcleo", disse Gowdiak. É surpreendente descobrir que a proteção contra este tipo de ataque não foi implementada para a Reflection API no Java 7, quando estava sendo desenvolvido, disse.

O pesquisador afirma que a vulnerabilidade permite a atacantes violar uma característica fundamental da segurança da VM - a segurança do seu sistema de tipagem.

"Como resultado do ataque, pode-se realizar operações arbitrárias de conversão de tipo entre tipos de dados do Java como um inteiro e um ponteiro", disse ele por e-mail. "Em Java, as operações de conversão de tipo precisam seguir regras rígidas, para que a memória seja acessada de forma segura."

Gowdiak criticou a implementação da Reflection API no passado, dizendo que o recurso não parece ter sido submetida a uma revisão de segurança completa.

Ele acredita que a presença desta nova vulnerabilidade no Java 7 levanta dúvidas sobre a eficácia da garantia de segurança de software da Oracle e práticas de revisão de código de segurança. "Uma enorme quantidade de bugs passam despercebidos por essas políticas e procedimentos", disse ele.

Fonte: IDG Now

Como diz o Ditado: "Recordar, é viver", mais uma vez provando, que estudar falhas antigas, pode fazer a diferença na vida de um Analista de Segurança...

Read More