Tecnologias
Typography
  • Smaller Small Medium Big Bigger
  • Default Helvetica Segoe Georgia Times

He aquí un llamado urgente a todas las empresas: es preciso deshabilitar Java en los navegadores. Esta advertencia ha sido propagada por numerosos expertos en seguridad de la información, tras el descubrimiento de un virus que anda suelto en la Red y que ataca una vulnerabilidad de Día Cero en Java, y para la cual aún no existe un parche.

“Hemos visto esta vulnerabilidad sin parche que se utiliza en ataques dirigidos limitados. La mayoría de los entornos recientes que ejecutan Java (es decir, JRE 1.7x) son vulnerables”, dijo Atif Mushtaq, científico senior de Personal de FireEye Malware Intelligence Lab, que descubrió el ataque e identificó la vulnerabilidad atacada en Java. “El virus inicial está alojado en un dominio llamado ok.XXX4.net. Actualmente, este dominio conduce a una dirección IP en China”, señaló en una publicación de blog.

El virus, alojado por un sitio Web malicioso, sólo ataca por ahora a PC con Windows a través de un subprograma JAR (Java Archive) malicioso llamado “Dropper.MsPMs”. Si el ataque dirigido al navegador es exitoso, el archivo JAR se instala en el equipo atacado. Hasta el domingo pasado, el sitio Web que sirve de huésped al virus era completamente funcional, al igual que los servidores de comando y control, que están alojados actualmente en Singapur.

La vulnerabilidad atacada existe en todas las versiones de Java 7 y se puede utilizar no sólo para atacar a Windows, sino también a computadoras con Apple OS X y Linux. “He probado los siguientes sistemas operativos: Windows7, Ubuntu 12.04 y OSX 10.8.1; he probado también los siguientes navegadores: Firefox 14.0.1 (Windows, Linux, OSX), IE 9 y Safari 6. El mismo ataque funcionó en todos esos sistemas”, comentó David Maynor, CTO de Errata Security, en el blog.

En su visión, se trata de un virus “asombroso”, explicando que “no es un desbordamiento de búfer ni nada como eso; aprovecha una falla en el diseño de JRE que permite a una aplicación Java cambiar su configuración de seguridad con reflexión”. Como resultado, un atacante puede aprovechar la vulnerabilidad para cambiar de forma arbitraria la configuración de seguridad de Java, permitiendo que el malware lea, escriba y ejecute código en un equipo infectado.

La mejor parte: ¿cómo solucionarlo?

Oracle todavía tiene que anunciar cuándo entregará un parche para corregir la vulnerabilidad en Java. “La siguiente actualización programada para Java es el 16 de octubre de 2012. Oracle tiene un mal récord de entrega de parches oportunos para corregir vulnerabilidades, pero con toda la atención que está recibiendo esta falla, espero que liberen una versión de reparación extraordinaria por ninguna otra razón que para salvar su reputación”, opinó Chester Wisniewski, asesor senior de Seguridad de Sophos Canadá, en otro blog.

Hasta que Oracle parche la vulnerabilidad, “la mejor forma de prevenir este ataque es eliminar o deshabilitar el complemento Java de la configuración de sus navegadores – sugirió Mushtaq, de FireEye–. Apenas Oracle entregue un parche podrán volver a habilitar este complemento.” Sin embargo, no se recomienda retroceder a una versión anterior de Java, ya que las versiones anteriores tienen numerosas vulnerabilidades conocidas.

Ya se agregó a Metasploit (un kit de herramientas de prueba de penetración de código abierto) un módulo de explotación basado en la nueva vulnerabilidad, y se puede utilizar para atacar la falla en equipos infectados con Windows, OS X y Linux. El creador de Metasploit, “sinn3r”, dijo que había verificado que la explotación funciona contra Internet Explorer, Firefox y Chrome, bajo el ambiente Windows XP, Vista y 7, así como también en Firefox, con Ubuntu Linux 10.04, y en Safari, con OS X Mountain Lion (10.7.4).

“Paunch”, mote que utiliza el creador del kit de herramientas para actividad criminal BlackHole, dijo en una charla con el periodista Brian Krebs, especializado en seguridad IT, que planeaba integrar de inmediato el código de explotación públicamente disponible en BlackHole, señalando que era una vulnerabilidad de alta calidad que podría haber recaudado $100,000 dólares de haberse vendido de forma privada.

El autor(es) de BlackHole se ha(n) dedicado recientemente a explorar vulnerabilidades de Java, que han demostrado ser fáciles de atacar, donde algunos errores de código de Java ofrecen un índice de éxito de hasta 80%. Agregar estas vulnerabilidades hace que el kit de herramientas para actividad criminal sea más atractivo para sus posibles compradores.

“A partir de finales del año pasado, se centraron en agregar vulnerabilidades de Java (en un periodo de un mes posterior a la liberación de un parche de parte de Oracle) y observamos un índice muy elevado de éxito en los ataques”, dijo Jason Jones, líder del Equipo de Inteligencia de Seguridad Avanzada de DVLabs de HP, en una conversación telefónica. “Después agregaron otro al principio de este año y tuvieron el mismo alto nivel de índices de explotación de vulnerabilidades, y finalmente lo han vuelto a hacer recientemente.”

A principios de 2012, ese uso creciente de ataques a Java llevó a Apple a deshabilitar automáticamente Java en OS X si no se usa por 35 días. Apple hizo ese cambio después de detectarse que una vulnerabilidad en Java (descrita primero para Windows) fue sometida a ingeniería inversa por desarrolladores de malware que crearon el malware Flashback, el cual infectó un estimado de 600,000 computadoras con OS X.

A raíz de la más reciente vulnerabilidad de Java, que es difícil de detectar, la recomendación imperante en torno a la seguridad ha sido la de deshabilitar Java por completo. “La configuración que utilicé para probar la vulnerabilidad sería detectada por un IPS con buenas reglas; pero si se habilitan las opciones SSL integradas in Metasploit, un IPS no lo detectaría”, expuso Maynor, de Errata Security. “He probado dos diferentes suites de aplicaciones para protección de PC de escritorio de McAfee y Symantec. Ninguna de ellas logró detener la amenaza, pero de nueva cuenta, realmente no están diseñadas para hacerlo. Ésta es una vulnerabilidad perfecta para usarse para el robo de identidad o bien para atacar a usuarios de social media.”

Es posible que la nueva vulnerabilidad ya haya sido utilizada contra su empresa, sugiere Jaime Blasco, investigador de malware de AlienVault Labs: “Recuerde examinar sus registros para buscar conexiones con los dominios/IP relacionados con este ataque”, dijo en una publicación en el blog.

Para aquellas empresas que no pueden deshabilitar Java, por ejemplo porque necesitan dar soporte a la funcionalidad en páginas de la intranet, ésta es una solución temporal: “Use su firewall cliente para bloquear el acceso a recursos que no son de la intranet para javaw.exe (en Windows)”, recomendó Wisniewski, de Sophos. “Otra solución consiste en navegar por la Red usando su navegador preferido con Java deshabilitado, y disponer de un navegador alterno para el sitio ocasional que lo necesite (Java no es JavaScript, casi nunca se necesita)”, concluyó.

Fuente: www.informationweek.com.mx

Publicado por: TuDecides.com.mx
Edición: Adrián Soltero
Contacto: dir@tudecides.com.mx

Nota: Por lo general todos los artículos cuentan con fuente y autor del mismo. Si por alguna razón no se encuentra, lo hemos omitido por error o fue escrito por la redacción de TuDecides.com.mx.

 

Suscríbase para recibir novedades, regalos y artículos

Su email jamás será compartido con nadie. Odiamos el spam.

Te puede interesar...

Save
Cookies user preferences
We use cookies to ensure you to get the best experience on our website. If you decline the use of cookies, this website may not function as expected.
Accept all
Decline all
Marketing
Set of techniques which have for object the commercial strategy and in particular the market study.
DoubleClick/Google Marketing
Accept
Decline
$family
Accept
Decline
$constructor
Accept
Decline
each
Accept
Decline
clone
Accept
Decline
clean
Accept
Decline
invoke
Accept
Decline
associate
Accept
Decline
link
Accept
Decline
contains
Accept
Decline
append
Accept
Decline
getLast
Accept
Decline
getRandom
Accept
Decline
include
Accept
Decline
combine
Accept
Decline
erase
Accept
Decline
empty
Accept
Decline
flatten
Accept
Decline
pick
Accept
Decline
hexToRgb
Accept
Decline
rgbToHex
Accept
Decline
min
Accept
Decline
max
Accept
Decline
average
Accept
Decline
sum
Accept
Decline
unique
Accept
Decline
shuffle
Accept
Decline
rgbToHsb
Accept
Decline
hsbToRgb
Accept
Decline
Básicas
Accept
Decline
Analytics
Tools used to analyze the data to measure the effectiveness of a website and to understand how it works.
Google Analytics
Accept
Decline
Analíticas
Accept
Decline
Functional
Tools used to give you more features when navigating on the website, this can include social sharing.
AddThis
Accept
Decline
$family
$hidden
Accept
Decline
overloadSetter
Accept
Decline
overloadGetter
Accept
Decline
extend
Accept
Decline
implement
Accept
Decline
hide
Accept
Decline
protect
Accept
Decline
attempt
Accept
Decline
pass
Accept
Decline
delay
Accept
Decline
periodical
Accept
Decline
$constructor
alias
Accept
Decline
mirror
Accept
Decline
pop
Accept
Decline
push
Accept
Decline
reverse
Accept
Decline
shift
Accept
Decline
sort
Accept
Decline
splice
Accept
Decline
unshift
Accept
Decline
concat
Accept
Decline
join
Accept
Decline
slice
Accept
Decline
indexOf
Accept
Decline
lastIndexOf
Accept
Decline
filter
Accept
Decline
forEach
Accept
Decline
every
Accept
Decline
map
Accept
Decline
some
Accept
Decline
reduce
Accept
Decline
reduceRight
Accept
Decline
forEachMethod
Accept
Decline
each
clone
clean
invoke
associate
link
contains
append
getLast
getRandom
include
combine
erase
empty
flatten
pick
hexToRgb
rgbToHex
min
max
average
sum
unique
shuffle
rgbToHsb
hsbToRgb