Typography
  • Smaller Small Medium Big Bigger
  • Default Helvetica Segoe Georgia Times

Virus3He aquí un llamado urgente a todas las empresas: es preciso deshabilitar Java en los navegadores. Esta advertencia ha sido propagada por numerosos expertos en seguridad de la información, tras el descubrimiento de un virus que anda suelto en la Red y que ataca una vulnerabilidad de Día Cero en Java, y para la cual aún no existe un parche.

“Hemos visto esta vulnerabilidad sin parche que se utiliza en ataques dirigidos limitados. La mayoría de los entornos recientes que ejecutan Java (es decir, JRE 1.7x) son vulnerables”, dijo Atif Mushtaq, científico senior de Personal de FireEye Malware Intelligence Lab, que descubrió el ataque e identificó la vulnerabilidad atacada en Java. “El virus inicial está alojado en un dominio llamado ok.XXX4.net. Actualmente, este dominio conduce a una dirección IP en China”, señaló en una publicación de blog.

El virus, alojado por un sitio Web malicioso, sólo ataca por ahora a PC con Windows a través de un subprograma JAR (Java Archive) malicioso llamado “Dropper.MsPMs”. Si el ataque dirigido al navegador es exitoso, el archivo JAR se instala en el equipo atacado. Hasta el domingo pasado, el sitio Web que sirve de huésped al virus era completamente funcional, al igual que los servidores de comando y control, que están alojados actualmente en Singapur.

La vulnerabilidad atacada existe en todas las versiones de Java 7 y se puede utilizar no sólo para atacar a Windows, sino también a computadoras con Apple OS X y Linux. “He probado los siguientes sistemas operativos: Windows7, Ubuntu 12.04 y OSX 10.8.1; he probado también los siguientes navegadores: Firefox 14.0.1 (Windows, Linux, OSX), IE 9 y Safari 6. El mismo ataque funcionó en todos esos sistemas”, comentó David Maynor, CTO de Errata Security, en el blog.

En su visión, se trata de un virus “asombroso”, explicando que “no es un desbordamiento de búfer ni nada como eso; aprovecha una falla en el diseño de JRE que permite a una aplicación Java cambiar su configuración de seguridad con reflexión”. Como resultado, un atacante puede aprovechar la vulnerabilidad para cambiar de forma arbitraria la configuración de seguridad de Java, permitiendo que el malware lea, escriba y ejecute código en un equipo infectado.

La mejor parte: ¿cómo solucionarlo?

Oracle todavía tiene que anunciar cuándo entregará un parche para corregir la vulnerabilidad en Java. “La siguiente actualización programada para Java es el 16 de octubre de 2012. Oracle tiene un mal récord de entrega de parches oportunos para corregir vulnerabilidades, pero con toda la atención que está recibiendo esta falla, espero que liberen una versión de reparación extraordinaria por ninguna otra razón que para salvar su reputación”, opinó Chester Wisniewski, asesor senior de Seguridad de Sophos Canadá, en otro blog.

Hasta que Oracle parche la vulnerabilidad, “la mejor forma de prevenir este ataque es eliminar o deshabilitar el complemento Java de la configuración de sus navegadores – sugirió Mushtaq, de FireEye–. Apenas Oracle entregue un parche podrán volver a habilitar este complemento.” Sin embargo, no se recomienda retroceder a una versión anterior de Java, ya que las versiones anteriores tienen numerosas vulnerabilidades conocidas.

Ya se agregó a Metasploit (un kit de herramientas de prueba de penetración de código abierto) un módulo de explotación basado en la nueva vulnerabilidad, y se puede utilizar para atacar la falla en equipos infectados con Windows, OS X y Linux. El creador de Metasploit, “sinn3r”, dijo que había verificado que la explotación funciona contra Internet Explorer, Firefox y Chrome, bajo el ambiente Windows XP, Vista y 7, así como también en Firefox, con Ubuntu Linux 10.04, y en Safari, con OS X Mountain Lion (10.7.4).

“Paunch”, mote que utiliza el creador del kit de herramientas para actividad criminal BlackHole, dijo en una charla con el periodista Brian Krebs, especializado en seguridad IT, que planeaba integrar de inmediato el código de explotación públicamente disponible en BlackHole, señalando que era una vulnerabilidad de alta calidad que podría haber recaudado $100,000 dólares de haberse vendido de forma privada.

El autor(es) de BlackHole se ha(n) dedicado recientemente a explorar vulnerabilidades de Java, que han demostrado ser fáciles de atacar, donde algunos errores de código de Java ofrecen un índice de éxito de hasta 80%. Agregar estas vulnerabilidades hace que el kit de herramientas para actividad criminal sea más atractivo para sus posibles compradores.

“A partir de finales del año pasado, se centraron en agregar vulnerabilidades de Java (en un periodo de un mes posterior a la liberación de un parche de parte de Oracle) y observamos un índice muy elevado de éxito en los ataques”, dijo Jason Jones, líder del Equipo de Inteligencia de Seguridad Avanzada de DVLabs de HP, en una conversación telefónica. “Después agregaron otro al principio de este año y tuvieron el mismo alto nivel de índices de explotación de vulnerabilidades, y finalmente lo han vuelto a hacer recientemente.”

A principios de 2012, ese uso creciente de ataques a Java llevó a Apple a deshabilitar automáticamente Java en OS X si no se usa por 35 días. Apple hizo ese cambio después de detectarse que una vulnerabilidad en Java (descrita primero para Windows) fue sometida a ingeniería inversa por desarrolladores de malware que crearon el malware Flashback, el cual infectó un estimado de 600,000 computadoras con OS X.

A raíz de la más reciente vulnerabilidad de Java, que es difícil de detectar, la recomendación imperante en torno a la seguridad ha sido la de deshabilitar Java por completo. “La configuración que utilicé para probar la vulnerabilidad sería detectada por un IPS con buenas reglas; pero si se habilitan las opciones SSL integradas in Metasploit, un IPS no lo detectaría”, expuso Maynor, de Errata Security. “He probado dos diferentes suites de aplicaciones para protección de PC de escritorio de McAfee y Symantec. Ninguna de ellas logró detener la amenaza, pero de nueva cuenta, realmente no están diseñadas para hacerlo. Ésta es una vulnerabilidad perfecta para usarse para el robo de identidad o bien para atacar a usuarios de social media.”

Es posible que la nueva vulnerabilidad ya haya sido utilizada contra su empresa, sugiere Jaime Blasco, investigador de malware de AlienVault Labs: “Recuerde examinar sus registros para buscar conexiones con los dominios/IP relacionados con este ataque”, dijo en una publicación en el blog.

Para aquellas empresas que no pueden deshabilitar Java, por ejemplo porque necesitan dar soporte a la funcionalidad en páginas de la intranet, ésta es una solución temporal: “Use su firewall cliente para bloquear el acceso a recursos que no son de la intranet para javaw.exe (en Windows)”, recomendó Wisniewski, de Sophos. “Otra solución consiste en navegar por la Red usando su navegador preferido con Java deshabilitado, y disponer de un navegador alterno para el sitio ocasional que lo necesite (Java no es JavaScript, casi nunca se necesita)”, concluyó.

Fuente: www.informationweek.com.mx