Crackers desenvolvedores de kits de exploração com foco em vulnerabilidades Java, porque a taxa de ataques efetivos é bem alta
Vulnerabilidades do Java são cada vez mais exploradas por crackers para infectar computadores e o problema poderia se tornar maior caso a Oracle não faça mais para garantir a segurança do produto e manter sua base de instalação atualizada, de acordo com pesquisadores de segurança que vão falar sobre ataques baseados em Java na conferência de segurança Black Hat, que está acontecendo em Las Vegas, nos Estados Unidos.
Um grande número de computadores é infectado atualmente por meio de ataques drive-by download, realizados com a ajuda de kits de ferramentas de exploração - aplicativos maliciosos projetados para explorar vulnerabilidades no navegador, comumente encontradas em plugins como Flash Player, Adobe Reader ou Java.
O Java foi adquirido pela Oracle como parte da compra da Sun Microsystems, em 2010. Há uns dois anos, os plugins mais visados eram o Flash Player e o Adobe Reader, mas muitos dos kits de hoje exploram Java, disse Jason Jones, pesquisador em segurança da HP DVLabs, divisão de pesquisa de vulnerabilidades da HP.
Jones tem acompanhado o desenvolvimento de alguns dos kits de ferramentas de exploração mais utilizados na Web, como o Blackhole ou Phoenix, e apresentará suas conclusões na Black Hat na quinta-feira (26/7).
Uma tendência clara é de que desenvolvedores de kits de exploração estão cada vez mais focando em Java, disse Jones. Eles estão também integrando ferramentas para a exploração de novas vulnerabilidades em Java em um ritmo muito mais rápido que antes.
Em alguns casos os crackers reutilizam um código de exploração publicado online por pesquisadores de segurança da própria Oracle. No entanto, eles o modificam e aplicam diferentes técnicas de ofuscação, a fim de evitar sua detecção por produtos de segurança.
"No geral, temos visto a quantidade de malwares para Java crescendo ao longo do tempo, baseado em nossa telemetria", afirmou Jeong Wook Oh, pesquisador do Centro de Proteção contra Malware da Microsoft, via e-mail. Oh está programado para falar sobre as recentes tendências de exploração de Java e malware na Black Hat desta quinta-feira.
Taxas de sucesso
Um grande número de computadores é infectado atualmente por meio de ataques drive-by download, realizados com a ajuda de kits de ferramentas de exploração - aplicativos maliciosos projetados para explorar vulnerabilidades no navegador, comumente encontradas em plugins como Flash Player, Adobe Reader ou Java.
O Java foi adquirido pela Oracle como parte da compra da Sun Microsystems, em 2010. Há uns dois anos, os plugins mais visados eram o Flash Player e o Adobe Reader, mas muitos dos kits de hoje exploram Java, disse Jason Jones, pesquisador em segurança da HP DVLabs, divisão de pesquisa de vulnerabilidades da HP.
Jones tem acompanhado o desenvolvimento de alguns dos kits de ferramentas de exploração mais utilizados na Web, como o Blackhole ou Phoenix, e apresentará suas conclusões na Black Hat na quinta-feira (26/7).
Uma tendência clara é de que desenvolvedores de kits de exploração estão cada vez mais focando em Java, disse Jones. Eles estão também integrando ferramentas para a exploração de novas vulnerabilidades em Java em um ritmo muito mais rápido que antes.
Em alguns casos os crackers reutilizam um código de exploração publicado online por pesquisadores de segurança da própria Oracle. No entanto, eles o modificam e aplicam diferentes técnicas de ofuscação, a fim de evitar sua detecção por produtos de segurança.
"No geral, temos visto a quantidade de malwares para Java crescendo ao longo do tempo, baseado em nossa telemetria", afirmou Jeong Wook Oh, pesquisador do Centro de Proteção contra Malware da Microsoft, via e-mail. Oh está programado para falar sobre as recentes tendências de exploração de Java e malware na Black Hat desta quinta-feira.
Taxas de sucesso
Os cibercriminosos são atraídos para vulnerabilidades do Java porque as taxas de sucesso são altas. Para ter como exemplo, um exploit em particular integrado ao Blackhole em 2011 teve índice superior a 80%, afirmou Jones.
Isto acontece porque os usuários não estão baixando e instalando as atualizações de segurança disponíveis em tempo hábil, o que vai ser um problema ainda maior agora que os crackers estão descobrindo novas vulnerabilidades do Java mais rapidamente.
A Adobe lida com baixas taxas de adoção de correção do Flash Player e do Adobe Reader melhorando os mecanismos de atualização para esses produtos e até mesmo implementando atualizações automáticas para o Flash Player.
Essas mudanças tiveram um impacto direto sobre a frequência de ataques contra os dois produtos e outras em medidas de segurança tomadas pela empresa, como a introdução de um Ciclo de Desenvolvimento de Segurança (SDL) - uma série de revisões de códigos de segurança e práticas de desenvolvimento que visam reduzir o número de vulnerabilidades - ou a implementação de sandbox (utilitário que isola aplicativos, limitando o acesso de terceiros ao OS), disse Carsten Eiram, especialista chefe em segurança da empresa de gerenciamento de vulnerabilidades Secunia.
O Java já tem uma sandbox que deveria, teoricamente, dar limites a códigos de terceiros. No entanto, segundo Oh, uma única vulnerabilidade pode quebrar esse modelo de segurança e permitir que invasores executem um código malicioso diretamente no sistema.
Segundo Eiram, o Java tem alguns grandes problemas de segurança com relação a códigos. Muitas das vulnerabilidades encontradas em Java são as mais básicas, que poderiam ser evitadas por um bom programa SDL.
Eiram pesquisou os efeitos que o programa SDL da Microsoft exerceu sob o Office ao longo dos anos e descobriu que o software levou a um declínio significativo no número de vulnerabilidades encontradas no produto, deixando-o quase nulo no Office 2010.
Os pesquisadores concordam que a Oracle precisa fazer algo para tornar o Java um alvo menos atraente para crackers. "Atualizações automáticas irão proporcionar muitos benefícios se forem implementadas pela Oracle", disse Oh. "Os crackers estão se aproveitando do intervalo de tempo entre a liberação de uma correção para programas e atualizações."
A maioria dos exploits desenvolvidos para Java se aproveitam de vulnerabilidades que já foram corrigidas pela Oracle. No entanto, Eiram acredita que isso vai mudar e crackers em breve começar a focar em vulnerabilidades não corrigidas (zero-day) de Java em vez das do Flash, que são atualmente o alvo favorito para ataques zero-day.
Segundo Eiram, a Oracle pode ter dificuldade em lidar com esses ataques, porque eles não são um dos fornecedores mais responsivos no momento. Eles evitam se comunicar abertamente sobre problemas de segurança ou confirmar a existência deles, até mesmo para pesquisadores em segurança, que reportam vulnerabilidades a eles.
Click to play
Os fornecedores de software que desenvolvem plugins implantados em navegadores, como Java, Flash ou Adobe Reader, têm a responsabilidade de torná-los o mais seguro possível e responder a incidentes de segurança o mais rápido possível, disse Eiram. A Adobe fez uma série de melhorias com relação à segurança nos últimos anos, mas a Oracle continua a ser demasiada lenta e sem resposta.
"Qualquer software de terceiros com uma base grande de usuários pode ser um possível alvo no futuro", disse Oh. "Mas enquanto você não aplicar qualquer esforço para tornar o software mais seguro e ele tem uma base grande de usuários, não há razão para os caras maus pararem de abusar das vulnerabilidades encontradas nele. Especialmente quando esses caras têm uma taxa alta de sucesso com essas vulnerabilidades."
Na ausência de melhorias vindas dos desenvolvedores de plugins, alguns fabricantes de navegadores têm construído defesas em seus programas, a fim de proteger seus usuários.
O Chrome, por exemplo, automaticamente desativa plugins desatualizados - conhecidos por sua vulnerabilidade. A Mozilla, por sua vez, tem uma lista negra para plugins no Firefox e, de fato, a utilizou em abril para bloquear plugins Java vulneráveis, em resposta a ataques generalizados que visavam uma falha nas versões mais antigas.
O click-to-play é outra característica do navegador que pode prevenir ataques a plugins, porque impede a reprodução automática de conteúdo que necessitam deles para funcionar. O recurso já está presente no Chrome e atualmente está sendo construído para Firefox.
Jones recomendou que usuários habilitem o click-to-play quando ele estiver disponível em seus navegadores. Outra abordagem defensiva é excluir o plugin Java por completo, caso ele seja desnecessário.
Infelizmente, nem todos podem fazer isso, especialmente em um ambiente de negócios, onde o Java é utilizado em muitas aplicações internas. Por exemplo, alguns bancos ainda têm os seus sistemas bancários online construídos em torno de Java, disse Eiram.
Fonte: IDGNOW
