Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Prica o Java 0day-u (ili ti CVE-2012-4681 sad vec) ili zasto treba ugasiti Javu u browseru

[es] :: Security :: Prica o Java 0day-u (ili ti CVE-2012-4681 sad vec) ili zasto treba ugasiti Javu u browseru

[ Pregleda: 2407 | Odgovora: 1 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

EArthquake

Član broj: 20684
Poruke: 884
*.dynamic.sbb.rs.



+67 Profil

icon Prica o Java 0day-u (ili ti CVE-2012-4681 sad vec) ili zasto treba ugasiti Javu u browseru29.08.2012. u 00:22 - pre 141 meseci
U nedelju uvece , fireeye objavljuje sledeci post:
http://blog.fireeye.com/resear...ay-season-is-not-over-yet.html

u kom predstavljaju informacije o novodetektovanom java eksplitu.
Browser eksploit koji iskoriscava propust u Java apletima da bi skinuo i izvrsio maliciozni fajl.
U tekstu navode da se eksploit nalazi na ok.XXX4.net adresi koja je ocigledno cenzurisana.
I u celom postu se trude da skriju adresu na kojoj se nalazi eksploit kako bi zastitili javnost.
Iz screenshotova se vidi sledece:
[img]http://blog.fireeye.com/.a/6a00d835018afd53ef017c317aac83970b-650wi[/img]

Adresa u pitanju je dakle 59.*.*.62 i hostuje web server. Iz drugog screenshota se vidi
da se radi o IceWrap Web serveru.
Kako opseg adresa nije preveliki i ustvari je oko 2k hostova zaista up, lako je odradi nmap sken
i naci konkretan izvor. Sto kolega Jduck , inace ekspert iz Accuvant firme, i radi i samo nakon par sati objavljuje
dekompajlirani kod, to jest njegovu verziju eksploita:
https://twitter.com/jduck1337/status/239875285913317376

Konkretan eksploit http://pastie.org/4594319

Mnogi su zbunjeni, jer na prvi pogled izgleda kao normalni java kod koji nebi trebalo da radi u apletu bez posebnih dozvola.
Da ne ulazimo u detalje kako se pomocu ovog (ovih dvoje to jest) baga iskljucuje javin SecurityManager prica dalje prerasta
u raspravu izmedju AV proizvodjaca koji se ljute jer su ljudi koji se bave eksploitima objavili ovo.
Payload koji originalni eksploit skida je PoisonIvy, dobro poznati i delimicno zastareli RAT ( http://www.poisonivy-rat.com/ ) a ne neki ultra tajni nezgodni
rootkit.

Manje od dan nakon inicijalnog blog posta, ekipa iz metasploita objavljuje i spremni eksploit https://community.rapid7.com/c...-the-week-with-a-new-java-0day
sto doduse nije bio tezak podvig s obzirom na tip eksploita.

Pojavljuju se i beskorisni postovi na drugim blogovima koji kazu da je ovaj napad ciljan i da je deo vece kampanje i da je sofisticiran.
Payload koji ide uz eksploit nazivaju APTom (Advanced Persistent Thread, epitet do sada koriscen samo za "state sponsored" napade sta god to bilo) i time povecavaju FUD oko celog dogadjaja.
Pojedini i kao daju svoje verzije analiza ( http://www.deependresearch.org...vulnerability-information.html ) iako u stvari ne kazu nista pametno, mada jesu kontaktirali mihi-a, koji
je strasan momak i koji radi dobre stvari, da za komentar i on daje predlog patch-a.

Za svo to vreme, proizvodjaci AVa ne mogu da se odluce da li da se hvale kako je njihov proizvod uspesno blokirao napad ili da se ljute na ljude koji su objavili eksploit.
Najglasniji medju njima su iz Kaspersky-a:
http://www.securelist.com/en/b...urrent_Web_Delivered_Java_0day - u kom se bune kako je objavljivanje eksploita neodgovorno
i
https://twitter.com/e_kaspersky/status/240541487601971201 - gde E. Kaspersky licno kaze kako je njihov AV uspesno detektovao i sprecio napad.
E. Kaspersky ne pominje cinjenicu da je sam payload u stvari nasiroko poznati PoisonIvy za koji bi bilo sramota da ga ne detektuju, ali ok, dobro je da bar nesto radi.

Za svo ovo vreme, ni reci od Oracle-a koji ima sledeci najavljeni update za JVM tek za Novembar, a Oracle je poznat po tome da ne izdaje out-of-bounds update.

Argument na strani ljudi koji su objavili eksploit je da time vrse veci pritisak na Oracle da promeni svoju politiku update-a.

Postoji par cinjenica:
- ovaj bug nece biti patchovan skoro
- eksploit je cisti java sandbox escape sto znaci da radi na svim browserima koji vrte javu
- za sam eksploit (ne zavisno od malicioznog fajla koji skida) je tesko napraviti AV potpis jer moze vrlo lako da se menja (validni java kod, samo se kompajlira)
- vecina ljudi ima instalirane java plugin-ove u browserima

Iako se ovaj propust nalazi samo u najnovijoj verziji JVMa (neko je private polje proglasio za public u poslednjoj verziji izmedju ostalog), downgrade na prethodnu ne pomaze mnogo
jer je i ta busna ko svajcarski sir. Stoga je najbolji savet gasenje jave u browseru (ja licno je nemam vec ihaha...).

Nisam siguran zasto sam napisao ovako poduzi post, verovatno zato sto je ovaj deo foruma malo zamro , pa da ga ozivimo, a i zato sto ova ranjivost istice par interesantnih stvari.
Stanje AV industrije i njihove politike da sve nazivaju APTovima i bedno stanje sigurnosti jave...


PS
Ako nekog zanimaju detalji (ko je morao kao ja da kopa po dokumentaciji zbog neceg kao sto je ovo https://svn.nmap.org/nmap/nselib/jdwp.lua pa je upoznat sa Java internalijama :) )
kvalitetna analiza: http://immunityproducts.blogsp...ay-analysis-cve-2012-4681.html




[Ovu poruku je menjao EArthquake dana 29.08.2012. u 01:45 GMT+1]

[Ovu poruku je menjao EArthquake dana 29.08.2012. u 01:45 GMT+1]
 
Odgovor na temu

m1k1
Beograd

Član broj: 146416
Poruke: 41
*.dynamic.isp.telekom.rs.

Sajt: m1k1.blogspot.com


Profil

icon Re: Prica o Java 0day-u (ili ti CVE-2012-4681 sad vec) ili zasto treba ugasiti Javu u browseru29.08.2012. u 05:59 - pre 141 meseci
Rapid7 je postavio sajt gde može da se proveri dali je java plugin ranjiv: http://www.isjavaexploitable.com/

Inače lilčno sam isprobao metaplsoit verziju exploit-a i ne radi baš na svim platformama i pretraživačima kako je izreklamirano, moguće ja da treba još da se doradi.

Antivirusi naravno redovno detektuju ne modifikovan meterpreter payload, dok neki za pohvalu detektuju sam java kod kao maliciozan i ne dozvoljavaju mu da povuče payload.

Toliko od mene za sad.
"One machine can do work of fifty ordinary man. No machine can do work of one
extraordinary man."
 
Odgovor na temu

[es] :: Security :: Prica o Java 0day-u (ili ti CVE-2012-4681 sad vec) ili zasto treba ugasiti Javu u browseru

[ Pregleda: 2407 | Odgovora: 1 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.