Videó: Уязвимость нулевого дня - 0day в WinRAR (November 2024)
A Java hírneve ismét megdöbbent, miután a Facebook felfedte, hogy a támadók behatoltak a belső rendszerébe, miután egy nulla napos sebezhetőséget kihasználtak.
Amint a PCMag.com tegnap késő délután számolt be, a Facebook szerint januárjában a rendszereit "kifinomult támadás célpontjává tették". Egyes Facebook alkalmazottak, feltehetően fejlesztők, megfertőződtek egy harmadik féltől származó mobil fejlesztő webhely felkeresése után - mondta a társaság a webhely Facebook biztonsági üzenetében. A támadók korábban veszélybe sodorták a fejlesztői webhelyet, és rosszindulatú kódot injektáltak, amely biztonsági rést kihasznált a Java plugin számára. A nulla napos kizsákmányolás megkerüli a Java homokozóját, hogy a rosszindulatú programokat az áldozatok számítógépére telepítse - mondta a Facebook.
A Facebook a kizsákmányolást jelentette az Oracle-nek, és február 1-jén javításra került. Az Oracle akkoriban azt mondta, hogy a javítást február 19-ig tervezték meg, de felgyorsította a kiadást, mert azt vadonban használták fel. Ezen a ponton nem egyértelmű, hogy a javításban rögzített 39 (az 50 közül) Java Runtime Environment hibából melyik került felhasználásra ebben a kihasználásban.
A Facebook biztosította a felhasználókat, hogy a támadás során a felhasználói adatok egyetlen elemét sem veszélyeztették, de nem jelezték, hogy a belső adatok valamelyikét érintette-e.
Twitter a többi áldozat?
A Facebook értesített több más társaságot, akiket ugyanaz a támadás sújtott, és a vizsgálatot szövetségi bűnüldöző szervre ruházta át. Noha a társaság nem azonosított más áldozatokat, a támadás időzítése egybeesik a Twitter megsértésével. A támadás során a felhasználó hitelesítő adatait fedezték fel. Most, hogy tudjuk a Facebook támadásának néhány részletét, a Twitter rejtélyes figyelmeztetése a Java böngésző pluginek letiltásáról van értelme.
Ahogyan a SecurityWatch korábban számolt be, a Twitter információbiztonsági igazgatója, Bob Lord azt mondta: "Visszatérjük az Egyesült Államok Belbiztonsági Minisztériumának és a biztonsági szakértőknek a tanácsát is, amely arra ösztönzi a felhasználókat, hogy tiltják a Java használatát a böngészőik számítógépén."
Rakás az AV-n Nem a pont
A Facebook megjegyezte, hogy a veszélyeztetett laptopok "teljesen javítva és legfrissebb víruskereső szoftverek". Egyes biztonsági szakértők megragadták a tényt, hogy megismételjék érveiket, miszerint az antivírus "sikertelen technológia" volt. Néhányan azt állították, hogy a Facebooknak nyilvánosságra kell hoznia a víruskereskedő gyártó nevét, hogy más ügyfelek tudják, vannak-e veszélyben.
Itt a hangsúly a nem az, hogy az antivírusnak kellett volna felfedeznie a Java kihasználását -, inkább az, hogy a Facebook sikeresen felhasználta rétegelt védelmét a támadás felderítésére és megállítására. A vállalat biztonsági csapata folyamatosan figyeli a támadások infrastruktúráját, és megjelölte a gyanús domaint a vállalati DNS-naplókban - mondta a Facebook. A csapat visszakereste az alkalmazotti laptophoz, egy igazságügyi vizsgálat elvégzése után rosszindulatú fájlt talált, és ugyanazzal a fájllal megjelölt több más, veszélyeztetett laptopot is.
"A kalapot a Facebook felé, hogy gyorsan reagáljanak erre a támadásra, becsíptették a rügybe" - mondta Andrew Storms, az nCircle biztonsági műveleteinek igazgatója a SecurityWatch-nek .
A rétegelt biztonság mellett a Facebook rendszeresen szimulációkat és gyakorlatokat is végez a védekezés tesztelése és az incidens-reagálókkal való együttműködés érdekében. Az Ars Technica a közelmúltban lenyűgözően beszámolt egy ilyen Facebook gyakorlatról, ahol a biztonsági csapatok úgy gondolták, hogy nulla napos kizsákmányolással és hátsóajtó kóddal foglalkoznak. Az ilyen típusú szimulációkat számos szervezet alkalmazza, mind a köz-, mind a magánszektorban.
Nem olyan könnyű megszabadulni a Java-tól
Ahogyan a SecurityWatch a hónap elején megjegyezte, könnyű azt tanácsolni a felhasználóknak, hogy tiltsa le a Java böngészőben, de sok üzleti eszköz továbbra is a böngésző Java pluginjára támaszkodik. Bár nem ismerek olyan fejlesztő eszközöket, amelyek igényelnék a Java használatát a böngészőben, rengeteg más túlnyomó üzleti eszköz működik. Csak a másnap nehézségeim voltak, hogy a WebEx működjön a Chrome-n (Java le van tiltva), és emlékeznem kellett az Internet Explorerre (Java engedélyezett).
A támadók alattomosak, kompromittálják a jogszerű webhelyeket és támadják meg a webhely látogatóit. Tartsa javítva a szoftvert és az operációs rendszert, és futtasson a legfrissebb biztonsági szoftvereket. Csökkentse a támadási felületet, ahol csak lehet, de ami a legfontosabb: tisztában kell lennie azzal, ami a hálózaton zajlik.
