Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 28. august 2012

Java 0-day brukt mot Teknisk Ukeblad sine lesere

Tirsdag morgen observerte vi at flere av våre kunder ble videresendt til en mistenkelig tredjeparts-side fra Teknisk Ukeblad sine nettsider. Siden ble hentet inn med følgende HTTP get-forespørsel:

  Denne siden forsøkte så å laste en .jar-fil. Jar står for Java Archive og er altså et filformat som brukes av Java.


Etter dekompilering og analyse av denne .jar-filen, ser vi at den importerer de samme bibliotekene og funksjonskallene som metasploit modulen for den mye omtalte Java 0-dags svakheten gjør. Dette tyder altså på at dette er en exploit-kode som utnytter den nye 0-dag svakheten i Java. Utdrag fra den dekompilerte koden fra den fiendtlige websiden:

 
Klienter med sårbar Java vil etter kjøring av .jar-filen hente ned en PE Exe-fil som blir kjørt på det sårbare systemet. SHA1-sjekksum for denne er: 8ca8e0c7dd7b37c1bed5a9c41cf8df1b05487f6b

 
Filen er en variant av Citadel/Zeus-trojaneren og oppdages for øyeblikket av 10 av 41 antivirus-leverandører hos virustotal.com.

Teknisk Ukeblad ble raskt varslet av Telenor SOC og den fiendtlige koden ble fjernet innen 2 timer etter at vi første gang oppdaget den. Den fiendtlige koden snek seg inn på nettsiden via annonsesystemet, noe vi har sett også flere ganger tidligere på infiserte norske websider. Teknisk Ukeblad opplyser at de vil vurdere å skifte annonseløsning i løpet av kommende døgn.

Telenor SOC anbefaler at Java skrus av eller avinstalleres på maskiner der det ikke er nødvendig. Oracle har enda ikke sluppet en patch for denne svakheten. Dersom Java må være installert, bør en besøke eksterne nettsider fra en web-browser der Java-plugin har blitt skrudd av. Dette kan forholdsvis enkelt gjøres i f.eks. Firefox, Opera eller Google Chrome. Hardware.no har en artikkel om hvordan dette gjøres.

Oppdatering 2012.09.03:

Oracle har nå sluppet en oppdatering for å utbedre svakheten som ble brukt i angrepet over. Etter installasjon av oppdateringen skal du ha Java versjon 7 update 7 installert. Du kan sjekke hvilken versjon av Java som er installert på en PC ved å besøke denne siden. Brukere av både Windows, Mac OS X og Linux bør oppdatere så fort som mulig!

Kort tid etter at Oracle slapp denne oppdateringen kom det imidlertid ny informasjon fra firmaet Security Explorations. Firmaet hadde i løpet av timer klart å finne en feil som fortsatt lot seg utnytte i denne siste versjonen av Java. Detaljer rundt feilen er oversendt Oracle, som enda ikke har gitt noe svar.

Java er med andre ord fortsatt sårbar, men detaljene rundt denne sårbarheten er det foreløpig bare en liten gruppe mennesker som har.

Selv etter oppdateringen fra Oracle står vi fast på vår anbefaling om å skru av eller avinstallere Java på maskiner der det ikke er nødvendig å ha det installert.

 
>