HACKLOG 1x25 - Guida alle Cryptovalute e al Bitcoin (Mining, Acquistare, in Dark Net)
Les chercheurs en sécurité avertissent que les cybercriminels ont commencé à utiliser des exploits Java signés avec des certificats numériques pour inciter les utilisateurs à autoriser l'exécution du code malveillant dans les navigateurs.
Un exploit Java signé a été découvert lundi sur un Un site web appartenant à l'Université de Technologie de Chemnitz en Allemagne et infecté par un outil d'exploitation Web appelé g01pack, a déclaré mardi Eric Romang, chercheur en sécurité, dans un article de blog.
"It's go01 pack", Jindrich Kubec fournisseur d'antivirus Avast, a déclaré par e-mail. Le premier échantillon de cet exploit signé Java a été détecté le 28 février.
[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]Il n'était pas immédiatement clair si cette exploit cible une nouvelle vulnérabilité ou une faille Java plus ancienne qui a déjà été corrigée. Oracle a publié lundi de nouvelles mises à jour de sécurité Java pour répondre à deux vulnérabilités critiques, dont l'une était activement exploitée par des attaquants.
Les exploits Java étaient traditionnellement livrés sous forme d'applets non signées - applications Web Java. L'exécution de ces applets était auparavant automatisée dans les anciennes versions de Java, ce qui permettait aux pirates de lancer des attaques de téléchargement drive-by totalement transparentes pour les victimes
de Java 7 Update 11, les contrôles de sécurité par défaut pour le contenu Java basé sur le Web sont élevés, ce qui incite les utilisateurs à confirmer avant que les applets puissent s'exécuter dans les navigateurs, qu'ils soient ou non signés numériquement. L'utilisation d'exploits signés sur des exploits non signés offre des avantages aux attaquants, car les dialogues de confirmation affichés par Java dans les deux cas sont considérablement différents. Les boîtes de dialogue pour les applets Java non signées sont intitulées «Security Warning».
La signature numérique est un élément important pour garantir aux utilisateurs qu'ils peuvent faire confiance à leur code, a déclaré Bogdan Botezatu, analyste e-menace chez Bitdefender. La boîte de dialogue de confirmation affichée pour le code signé est beaucoup plus discrète et moins menaçante que celle affichée dans le cas du code non signé. "En outre, Java traite les codes signés et non signés différemment et applique les restrictions de sécurité de manière appropriée." m'a dit. Par exemple, si les paramètres de sécurité Java sont définis sur «très élevé», les applets non signés ne s'exécuteront pas du tout, tandis que les applets signés s'exécuteront si l'utilisateur confirme l'action. Dans les environnements d'entreprise où des paramètres de sécurité Java très élevés sont appliqués, la signature de code peut être le seul moyen pour les pirates d'exécuter une applet malveillante sur un système ciblé, .
Ce nouvel exploit Java a également mis en lumière le fait que Java ne vérifie pas les révocations de certificats numériques par défaut.
L'exploit trouvé par les chercheurs lundi a été signé avec un certificat numérique volé. Le certificat a été émis par Go Daddy à une société appelée Clearesult Consulting basée à Austin, Texas, et a ensuite été révoqué avec une date du 7 décembre 2012.
Dans l'onglet "Avancé" du panneau de configuration Java, sous la catégorie "Paramètres de sécurité avancés", deux options sont appelées "Vérifier les certificats pour la révocation à l'aide de listes de révocation de certificats".) "Et" Activer la validation de certificat en ligne "- la deuxième option utilise OCSP (Online Certificate Status Protocol). Ces deux options sont désactivées par défaut.
Oracle n'a pas de commentaire à ce sujet pour le moment, l'agence de relations publiques d'Oracle au Royaume-Uni a déclaré mardi par email.
"Sacrifier la sécurité pour plus de commodité est un grave problème de sécurité. de logiciels depuis Novembre 2012 ", a déclaré Botezatu. Cependant, Oracle n'est pas seul dans ce cas, a déclaré le chercheur, notant qu'Adobe expédie Adobe Reader 11 avec un important mécanisme de sandbox désactivé par défaut pour des raisons d'ergonomie.
Botezatu et Kubec sont convaincus que les attaquants vont de plus en plus utiliser Java signé numériquement exploits afin de contourner plus facilement les nouvelles restrictions de sécurité de Java.
Le cabinet de sécurité Bit9 a récemment révélé que des pirates informatiques avaient piraté l'un de ses certificats numériques et l'avaient utilisé pour signer des logiciels malveillants. L'année dernière, les pirates informatiques ont fait de même avec un certificat numérique compromis d'Adobe.
Ces incidents et ce nouvel exploit Java prouvent que des certificats numériques valides peuvent finir par signer des codes malveillants, a déclaré Botezatu. Dans ce contexte, la vérification active des révocations de certificats est particulièrement importante car elle est la seule solution disponible en cas de compromission de certificat.
Les utilisateurs qui ont besoin de Java dans un navigateur tous les jours devraient envisager d'activer la vérification des révocations. Protéger contre les attaques exploitant des certificats volés, a déclaré Adam Gowdiak, fondateur de la société polonaise de recherche sur la vulnérabilité Security Explorations, par courrier électronique. Les chercheurs de Security Explorations ont découvert et signalé plus de 50 vulnérabilités Java au cours de l'année dernière.
Bien que les utilisateurs puissent activer manuellement ces options de révocation de certificat, beaucoup d'entre eux ne le feraient probablement pas.. Le chercheur espère qu'Oracle activera automatiquement la fonctionnalité dans une prochaine mise à jour.
Les utilisateurs n'ont plus besoin de retirer leurs MacBooks de leurs sacs, grâce à de nouveaux sacs pour ordinateurs portables «compatibles checkpoint». C'est une corvée que d'enlever les ordinateurs portables et de les placer dans des bacs, de sorte que ces sacs permettent aux appareils à rayons X d'examiner les ordinateurs portables de l'intérieur des sacs. Les sacs sont conçus en utilisant les directives fournies par la TSA, qui veut une vue claire de l'ordinateur portable à travers le sac.
La TSA ne certifie pas officiellement les sacs, mais elle a établi quelques règles de base qui peuvent être consultées sur son site Web.
Utilisateurs d'iPhone téléchargent cinq applications chacun, utilisent le Web La plupart des utilisateurs de smartphones téléchargent environ 5 applications, même les utilisateurs d'iPhone. Dans le monde entier, on télécharge généralement environ cinq applications logicielles, même des utilisateurs d'iPhone, selon InStat, un chercheur de marché.
Le nombre de téléchargements semble être en contradiction avec l'utilisation intensive de l'iPhone App Store.
Malgré le nombre croissant de cyberattaques réussies lancées par des pirates informatiques d'Asie de l'Est contre des entreprises et des institutions gouvernementales dans le monde ces dernières années, les cybercriminels d'Europe de l'Est sont une menace plus sophistiquée. Les cybercriminels européens restent une menace plus sophistiquée pour l'Internet mondial, disent les chercheurs en sécurité.
"Alors que les pirates informatiques d'Asie de l'Est dominent les manchettes de la cybersécurité dans le monde avec des intrusions et des menaces persistantes avancées (APT), ce serait une erreur pour conclure que ces attaquants sont la seule ou la plus grande menace criminelle pour l'Internet mondial aujourd'hui " Tom Kellermann, vice-président de la cybersécurité du fournisseur d'antivirus Trend Micro, a déclaré dans un rapport intitulé "Pierre le Grand contre Sun Tzu".