Video: Java 0-Day Vulnerability Exploit Demo (CVE-2012-4681) (Kann 2024)
Der Ruf von Java hat erneut an Bedeutung gewonnen, nachdem Facebook bekannt gegeben hatte, dass Angreifer nach Ausnutzung einer Zero-Day-Sicherheitsanfälligkeit in seine internen Systeme eingedrungen waren.
Wie PCMag.com am späten gestrigen Nachmittag mitteilte, seien die Systeme von Facebook im Januar "in einem raffinierten Angriff" angegriffen worden. Einige Facebook-Mitarbeiter, vermutlich Entwickler, wurden nach dem Besuch einer mobilen Entwickler-Website eines Drittanbieters infiziert, teilte das Unternehmen in einem Facebook-Sicherheitspost auf der Website mit. Zuvor hatten Angreifer die Entwickler-Website kompromittiert und bösartigen Code eingeschleust, der eine Sicherheitslücke im Java-Plugin ausnutzte. Der Zero-Day-Exploit habe die Java-Sandbox umgangen, um die Malware auf den Computern der Opfer zu installieren, sagte Facebook.
Facebook meldete den Exploit an Oracle, und es wurde am 1. Februar gepatcht. Oracle gab zu der Zeit bekannt, dass der Fix für den 19. Februar geplant war, die Veröffentlichung jedoch beschleunigt hatte, da er in freier Wildbahn ausgenutzt wurde. Zu diesem Zeitpunkt ist nicht klar, welcher der 39 (von 50) in diesem Patch behobenen Java Runtime Environment-Fehler der in diesem Exploit verwendete war.
Facebook versicherte den Nutzern, dass keine der Nutzerdaten bei dem Angriff kompromittiert worden sei, gab jedoch nicht an, ob irgendwelche internen Daten betroffen waren.
Twitter das andere Opfer?
Facebook benachrichtigte mehrere andere Unternehmen, die von demselben Angriff betroffen waren, und übergab die Ermittlungen den Strafverfolgungsbehörden des Bundes. Während das Unternehmen keine anderen Opfer identifizierte, fällt der Zeitpunkt des Angriffs mit der Verletzung von Twitter zusammen. Bei diesem Angriff wurden Benutzeranmeldeinformationen angezeigt. Nachdem wir einige Details des Angriffs auf Facebook kennen, ist die kryptische Warnung von Twitter zur Deaktivierung von Java-Browser-Plugins sinnvoll.
Wie SecurityWatch zuvor berichtete, sagte der Informationssicherheitsdirektor von Twitter, Bob Lord: "Wir stimmen auch dem Rat des US-amerikanischen Ministeriums für innere Sicherheit und Sicherheitsexperten zu, Benutzer zu ermutigen, Java auf ihren Computern in ihren Browsern zu deaktivieren."
Auf AV stapeln Nicht der Punkt
Facebook stellte fest, dass die betroffenen Laptops "vollständig gepatcht und mit aktueller Antivirensoftware ausgestattet waren". Einige Sicherheitsexperten stießen darauf, ihre Argumente zu wiederholen, dass Antivirus eine "ausgefallene Technologie" sei. Einige sagten, Facebook solle den Namen des Virenschutzanbieters bekannt geben, damit andere Kunden wissen, ob sie einem Risiko ausgesetzt sind.
Die Geschichte, auf die wir uns hier konzentrieren sollten, ist nicht, ob Antivirus den Java-Exploit hätte erkennen sollen, sondern dass Facebook seine mehrschichtige Verteidigung erfolgreich eingesetzt hat, um den Angriff zu erkennen und zu stoppen. Das Sicherheitsteam des Unternehmens überwacht die Infrastruktur kontinuierlich auf Angriffe und kennzeichnete die verdächtige Domain in den DNS-Protokollen des Unternehmens. Das Team führte es auf einen Mitarbeiter-Laptop zurück, fand nach einer forensischen Untersuchung eine schädliche Datei und markierte mehrere andere gefährdete Laptops mit derselben Datei.
"Hats off to Facebook für ihre schnelle Reaktion auf diesen Angriff, sie haben es im Keim erstickt", sagte Andrew Storms, Director of Security Operations bei nCircle, zu SecurityWatch .
Neben mehrschichtiger Sicherheit führt Facebook regelmäßig Simulationen und Übungen durch, um die Verteidigung zu testen und mit Einsatzkräften zu arbeiten. Ars Technica hat kürzlich einen faszinierenden Bericht über eine solche Übung bei Facebook aufgezeichnet, bei der die Sicherheitsteams dachten, sie hätten es mit einem Zero-Day-Exploit und Backdoor-Code zu tun. Diese Art von Simulationen wird in mehreren Organisationen sowohl im öffentlichen als auch im privaten Sektor verwendet.
Nicht so einfach, Java loszuwerden
Wie SecurityWatch Anfang dieses Monats feststellte, ist es leicht, Benutzern zu raten, Java in ihren Browsern zu deaktivieren, aber viele Geschäftstools verlassen sich immer noch auf das Java-Plugin des Browsers. Obwohl mir keine Entwicklertools bekannt sind, für die Java im Browser erforderlich ist, gibt es viele andere vorherrschende Geschäftstools, die dies tun. Neulich hatte ich Probleme, WebEx für Chrome zu aktivieren (Java deaktiviert) und musste daran denken, auf Internet Explorer (Java aktiviert) zu wechseln.
Angreifer werden hinterhältig, kompromittieren legitime Websites und greifen Besucher dieser Websites an. Halten Sie Ihre Software und Ihr Betriebssystem auf dem neuesten Stand und führen Sie aktuelle Sicherheitssoftware aus. Reduzieren Sie Ihre Angriffsfläche, wo Sie können, aber vor allem wissen Sie, was in Ihrem Netzwerk passiert.
