Video: Java 0-Day Vulnerability Exploit Demo (CVE-2012-4681) (November 2024)
De reputatie van Java nam opnieuw toe, nadat Facebook onthulde dat aanvallers zijn interne systemen hadden geïnfiltreerd nadat ze een zero-day kwetsbaarheid hadden misbruikt.
Zoals PCMag.com gisterenmiddag laat meldde, zei Facebook dat haar systemen in januari "het doelwit waren van een geavanceerde aanval". Sommige Facebook-medewerkers, vermoedelijk ontwikkelaars, raakten besmet na een bezoek aan een mobiele ontwikkelaarssite van derden, zei het bedrijf in een Facebook-beveiligingspost op de site. Aanvallers hadden eerder de ontwikkelaarssite gecompromitteerd en schadelijke code geïnjecteerd die een beveiligingslek in de Java-plug-in misbruikte. De zero-day exploit omzeilde de Java-sandbox om de malware op de slachtoffercomputers te installeren, zei Facebook.
Facebook rapporteerde de exploit aan Oracle en deze werd op 1 februari gepatcht. Oracle zei destijds dat de fix was gepland voor 19 februari, maar de release had versneld omdat deze in het wild werd uitgebuit. Het is op dit moment niet duidelijk welke van de 39 (van de 50) Java Runtime Environment-bugs die in die patch zijn opgelost degene was die in deze exploit werd gebruikt.
Facebook verzekerde gebruikers dat geen van de gebruikersgegevens tijdens de aanval was aangetast, maar gaf niet aan of interne gegevens waren beïnvloed.
Twitter het andere slachtoffer?
Facebook bracht verschillende andere bedrijven op de hoogte die door dezelfde aanval waren getroffen en droeg het onderzoek over aan de federale politie. Hoewel het bedrijf geen andere slachtoffers heeft geïdentificeerd, valt de timing van de aanval samen met de schending van Twitter. Gebruikersreferenties waren tijdens die aanval blootgelegd. Nu we enkele details van de aanval op Facebook kennen, is de cryptische waarschuwing van Twitter over het uitschakelen van Java-browserplug-ins zinvol.
Zoals SecurityWatch eerder meldde, zei Bob Lord, de directeur voor informatiebeveiliging van Twitter: "We sluiten ook aan bij het advies van het Amerikaanse ministerie van Binnenlandse Veiligheid en beveiligingsexperts om gebruikers aan te moedigen Java uit te schakelen op hun computer in hun browser."
Stapelen op AV Niet het punt
Facebook merkte op dat de aangetaste laptops "volledig gepatcht en up-to-date antivirussoftware waren". Sommige beveiligingsexperts maakten gebruik van het feit om hun argumenten te herhalen dat antivirus een 'mislukte technolog' was. Sommigen zeiden dat Facebook de naam van de antivirusverkoper zou moeten bekendmaken, zodat andere klanten zouden weten of ze risico lopen.
Het verhaal waarop we ons moeten concentreren, is niet of antivirus het Java-exploit had moeten detecteren, maar eerder dat Facebook met succes zijn gelaagde verdediging gebruikte om de aanval te detecteren en te stoppen. Het beveiligingsteam van het bedrijf bewaakt continu de infrastructuur op aanvallen en markeerde het verdachte domein in de bedrijfs-DNS-logboeken, zei Facebook. Het team voerde het terug naar een laptop van de medewerker, vond een kwaadaardig bestand na het uitvoeren van een forensisch onderzoek en markeerde verschillende andere gecompromitteerde laptops met hetzelfde bestand.
"Petje af voor Facebook vanwege hun snelle reactie op deze aanval, ze hebben het in de kiem gesmeten, " vertelde Andrew Storms, directeur van beveiligingsoperaties bij nCircle, aan SecurityWatch .
Naast gelaagde beveiliging voert Facebook ook regelmatig simulaties en oefeningen uit om verdedigingen te testen en te werken met incidentrespondenten. Ars Technica schreef onlangs een fascinerend verslag van een dergelijke oefening op Facebook waarbij de beveiligingsteams dachten dat ze te maken hadden met een zero-day exploit en backdoor-code. Dit soort simulaties worden gebruikt in verschillende organisaties, zowel in de publieke als in de private sector.
Niet zo gemakkelijk om Java kwijt te raken
Zoals SecurityWatch eerder deze maand al opmerkte, is het gemakkelijk om gebruikers te adviseren om Java in hun browsers uit te schakelen, maar veel zakelijke hulpmiddelen vertrouwen nog steeds op de Java-plug-in van de browser. Hoewel ik geen ontwikkelaarstools ken die Java in de browser vereisen, zijn er nog tal van andere overheersende zakelijke tools die dat wel doen. Onlangs had ik problemen om WebEx in Chrome (Java uitgeschakeld) te laten werken en moest ik eraan denken om over te schakelen naar Internet Explorer (Java ingeschakeld).
Aanvallers worden stiekem, brengen legitieme sites in gevaar en vallen bezoekers van die sites aan. Houd uw software en besturingssysteem gepatcht en voer up-to-date beveiligingssoftware uit. Verminder uw aanvalsoppervlak waar u kunt, maar vooral, wees u bewust van wat er op uw netwerk gebeurt.
