「確かにgo01パックだ」Jindrich Kubec、ウイルス対策ベンダーのAvast氏は電子メールで語った。
[詳しい説明:Windows PCからマルウェアを削除する方法]
この悪用が新しい脆弱性を標的にしているかどうかはすぐには分かりませんでした。すでにパッチが当てられている古いJavaの欠陥です。オラクルは、攻撃者が積極的に悪用していた2つの重大な脆弱性に対処するため、新しいJavaセキュリティ更新プログラムを月曜日にリリースした。
Javaの悪用は伝統的に署名のないアプレットであるJava Webアプリケーションとして行われてきた。このようなアプレットの実行は、以前のJavaバージョンでは自動化されていたため、ハッカーが被害者に完全に透過的なドライブバイダウンロード攻撃を開始することができました。Java 7の証明書失効確認設定
Java 7 Update 11では、WebベースのJavaコンテンツのデフォルトのセキュリティコントロールが高く設定されており、アプレットが電子署名されているかどうかにかかわらず、アプレットがブラウザ内で実行される前に確認を促します。 2つのケースでJavaによって表示される確認ダイアログはかなり異なっているため、署名されていない攻撃よりも署名された攻撃を使用すると、攻撃者に利益がもたらされます。署名されていないJavaアプレットのダイアログは、実際には「セキュリティ警告」というタイトルが付けられています。電子署名は、ウイルス対策ベンダーBitdefenderの上級電子脅威アナリストのBogdan Botezatu氏が電子メールで述べたものです。署名されたコードのために表示される確認ダイアログは、無署名コードの場合に表示されるものよりはるかに離散的で脅威であると彼は言いました。 "さらに、Javaは署名されたコードと署名のないコードを別々に処理してセキュリティの制限を適切に適用します。" Botezatu前記。たとえば、Javaセキュリティ設定が「非常に高い」に設定されている場合、署名されていないアプレットはまったく実行されず、ユーザーがアクションを確認した場合には署名付きアプレットが実行されます。 Javaのセキュリティ設定が非常に高い企業環境では、攻撃者がターゲットとするシステム上で悪意のあるアプレットを実行する唯一の方法である可能性があると彼は述べています。
この新しいJavaの悪用は、Javaがデフォルトでデジタル証明書の失効をチェックしないという事実を明らかにしている。
月曜日に研究者によって発見された悪用は、最も盗まれやすいデジタル証明書で署名された。証明書はGo Daddyによってテキサス州オースティンにあるClearesult Consultingという会社に発行され、2012年12月7日に取り消されました。
証明書の失効は遡及的に適用され、Go Daddyが失効の証明書。しかし、このエクスプロイトの最も古いサンプルが検出される3日前の2月25日に、同社が発行した証明書失効リストに証明書が既に失効しているとKubec氏は述べています。これにもかかわらず、Javaは証明書が有効であるとみなします。
Javaコントロールパネルの[詳細設定]タブの[高度なセキュリティ設定]カテゴリには、「証明書失効リスト(CRL )」と「オンライン証明書の有効化を有効にする」 - 2番目のオプションはOCSP(オンライン証明書ステータスプロトコル)を使用します。これらのオプションは、デフォルトでは無効になっています。
英国のオラクル広報担当者は、電子メールでこの問題についてコメントしていないと述べている。
「利便性のためにセキュリティを犠牲にすることは、特にJavaが最もターゲットを絞った第三者の作品2012年11月以来のソフトウェアの "、Botezatuは言った。しかし、Oracleはこれだけではないと、AdobeがAdobe Reader 11を出荷時に使用不可能な理由でデフォルトで無効にしてAdobe Reader 11を出荷したことを指摘している。BotezatuとKubecの両方は、攻撃者がデジタル署名されたJavaセキュリティの会社Bit9は最近、ハッカーがデジタル証明書の1つを侵害し、マルウェアに署名するためにそれを使用したことを明らかにしました。ボットザト氏は、昨年、ハッカーたちは、Adobeのデジタル証明書の侵害で同じことをしていたことを明らかにしている。
これらの事件とこの新しいJavaの悪用は、有効なデジタル証明書が悪質なコードに署名する可能性があるという証拠である。このコンテキストでは、証明書失効を積極的にチェックすることは、証明書の妥協の場合に利用可能な唯一の緩和策であるため、特に重要であると彼は述べています。
ブラウザでJavaを毎日必要とするユーザは、ポーランドの脆弱性調査会社Security Explorationsの創設者であるAdam Gowdiak氏は、電子メールを使って盗まれた証明書を悪用した攻撃から保護すると述べています。セキュリティエクスプロレーションの研究者は、過去1年間に50件以上のJavaの脆弱性を発見し報告しています。ユーザーはこれらの証明書失効オプションを手動で有効にする必要がありますが、セキュリティ更新プログラムをインストールしないと考えるユーザーもいます。 。研究者は、Oracleが今後のアップデートでこの機能を自動的にオンにすることを望んでいます。