Видео: PoC CVE-2020-16898 | Windows TCP/IP Remote Code Execution Vulnerability (Ноември 2024)
С неотдавнашния нулев ден експлоатация за Java, ние бием барабана "актуализиране на Java сега" и играем на "деактивирайте Java напълно" в парада на SecurityWatch . Ако това не беше достатъчно, последните новини, че кампанията за кибер-атаки в Червения октомври се възползва от експлоатация на Java, е само още една причина да продължите.
Векторът за атака на Java беше открит от Seculert и обявен във вторник в блога на компанията. Докато много нападатели използват експлоатации на Java, тя се различава от това, което преди се знаеше за Червения октомври. В първоначалния доклад за кампанията от Лабораториите на Касперски, Червеният октомври се характеризираше с разчитане на силно насочени атаки по подръчни съобщения със заразени файлове.
"Вектори, нападателите изпратиха имейл с вградена връзка към специално изработена уеб страница на PHP", пише Seculert. „Тази уеб страница използва уязвимост в Java (CVE-2011-3544) и на заден план изтегля и изпълнява злонамерения софтуер автоматично.“
Не е нов подвиг
Важно е да се отбележи, че атаката на Java, използвана от Червения октомври, не е експлоатацията с нулев ден, която покриваме. Всъщност Seculert пише, че тази част от нападението на Червения октомври е написана около февруари 2012 г., докато експлоатацията, която използва, е кръпка през октомври 2011 г. Ето защо трябва да поддържате софтуера си исправен и актуален.
След като бяха публикувани новини за аспекта на Java на Червения октомври, Касперски публикува последващи действия с повече информация. "Изглежда, че този вектор не е използван силно от групата", пише Касперски. "Когато изтеглихме php, който отговаря за обслужването на архива на.kja".jar ', кодираният ред код, предоставящ експлоатацията на Java, беше коментиран."
Опитвайки се да характеризира този аспект на нападението, Касперски не вярва, че това показва различен подход от Червения октомври. Вместо това те смятат, че това е в съответствие с методичните, добре проучени атаки, които са запазената марка на Червения октомври.
Какво означава
„Бихме могли да спекулираме, че групата успешно е доставила полезния си товар за злонамерен софтуер до съответната цел (и) за няколко дни, след което повече не се нуждае от усилията“, пише вчера Касперски. "Което също може да ни подскаже, че тази група, която старателно адаптира и разработи инструмента си за инфилтрация и събиране на средата на жертвите си, имаше нужда да се прехвърли към Ява от обичайните си техники за подводно нападение в началото на февруари 2012 г."
Касперски продължи да пише, че няколко технически аспекта на тази атака се различават от другите атаки на Червения октомври, което кара охранителната компания да вярва, че този експлоатация е разработен за конкретна цел.
Облекчение е да чуем, че аспектът на Java на Червения октомври не е използван за насочване към по-широк кръг жертви. Въпреки че тази кампания за кибер атака е ужасяваща в своята ефективност, нейните създатели се фокусират върху високопоставени правителствени и дипломатически цели, а не ежедневни потребители. Това обаче също така демонстрира, че много софтуерни подвизи са добре познати от нападателите, които ще се възползват от мързеливи потребители, които свиват своите актуализации.
За повече от Макс, следвайте го в Twitter @wmaxeddy.