A cura di:
Emiliano Massa
Director of Regional Sales, Websense Italy & Iberia
Java sta causando molte preoccupazioni tra CTO, CIO e CSO. Ridurre il pericolo di Java o disabilitarlo, è più semplice a dirsi che non a farsi nell’attuale mondo business. Java è parte integrante di applicazioni business critical, che aiutano le aziende ad essere competitive. Sfortunatamente, gli zero-day e le vulnerabilità permettono ai criminali informatici di mettere costantemente in pericolo i computer e la gestione delle patch, anche se spesso si propone come una soluzione, spesso non funziona. Questo spiega perché negli ultimi mesi i Security Labs di Websense hanno portato avanti una ricerca sui rischi Java legati alla sicurezza.
La nostra ricerca iniziale ha esaminato in tempo reale i dati della telemetria del Websense ThreatSeeker Intelligence Cloud per determinare quali versioni di Java vengono usate attivamente da decine di milioni di endpoint. I risultati della nostra ricerca sono impressionanti:
– Il 93% delle aziende è vulnerabile a exploit Java conosciuti
– Quasi il 50% del traffico aziendale sta usando una versione di Java di due anni fa
– Monitorando il progresso delle patch, abbiamo scoperto che durante i mesi in cui è stata rilasciata una release critica di Java, solo il 7% delle aziende ha adottato la nuova versione di Java
– L’83,86% dei browser aziendali ha abilitato Java per la visualizzazione di contenuti basati su Java.
Quasi il 40% degli utenti non sta attualmente utilizzando le versioni più aggiornate di Flash. Quindi, se circa il 10% delle aziende gestisce in modo proattivo le vulnerabilità critiche di Java attraverso patch e controlli, quali sono le misure di sicurezza che il restante 93% applica per proteggere i propri sistemi contro la compromissione e il furto dei dati?
I più famosi exploit Java e Zero-Day nei kit dei criminali informatici
Date un’occhiata al pannello di controllo di qualsiasi kit criminale e noterete che gli exploit Java sono uno dei gateway più di successo per infettare le macchine e rubare dati sensibili. Tuttavia, la sfida per la maggior parte delle aziende non è l’iniziale scoperta delle vulnerabilità Java, ma l’integrazione degli zero-day negli exploit kit.
I criminali informatici possono affittare un hosted exploit kit con zero-day integrati per meno di $200 a settimana. La rapida integrazione delle vulnerabilità zero-day garantisce ai criminali informatici la capacità illimitata di ricostruire gli exploit che sono in grado di superare i tradizionali metodi basati su signature come antivirus, firewall e altri controlli. Gli exploit kit hanno seguito un processo complesso e costoso al fine di ridurre gli sforzi, l’esperienza richiesta e i costi che precedentemente erano necessari al fine di sfruttare le vulnerabilità. Oggi le barriere di ingresso per i criminali informatici sono incredibilmente basse. I kit ben fatti fanno quasi tutto il lavoro per voi, fino al codice binario ospitato, se lo scegliete.
I risultati della nostra ricerca indicano che il processo di gestione delle patch è molto lento. La gestione delle patch può essere un processo complicato per un’azienda, specialmente per chi ha dipendenti che lavorano da remoto. Questo è il motivo per cui i modelli di sicurezza in tempo reale sono assolutamente fondamentali. La gestione delle patch (anche la migliore) e gli antivirus non possono tenere il passo con gli zero-day e gli exploit creati per trarre vantaggio dalle prossime generazioni di attacchi.
Come sono usati gli exploit Java nelle sette fasi delle minacce avanzate
Quando si decide di osservare l’intera catena di un attacco in base a comportamenti sospetti, piuttosto che aspettare e sperare di rilevare qualcosa durante l’ultima fase del processo, si hanno più possibilità di individuare e distruggere un attacco – anche se non avete mai visto prima quel malware. Ad esempio, quest’anno i criminali informatici hanno cercato di approfittare dei terribili attacchi avvenuti durante la Maratona di Boston per infettare i computer, utilizzando il RedKit Exploit Kit. Osserviamo questa campagna, rilevata dai Websense Security Labs, per capire come gli exploit kit sono utilizzati nelle Sette Fasi di una minaccia avanzata.
Fase 1: Riconoscimento
Come molte altre campagne, in questo esempio, i criminali informatici monitorano le notizie e gli eventi alla ricerca della possibilità di creare un attacco di successo. Le esplosioni alla Maratona di Boston hanno fornito l’esca per questa specifica campagna.
Fase 2: Le esche
I criminali informatici poi hanno creato una campagna email con titoli sensazionali per sfruttare la curiosità delle vittime che vogliono maggiori informazioni su quanto accaduto, tra cui:
– 2 Explosions at Boston Marathon
– Aftermath to explosion at Boston Marathon
– Boston Explosion Caught on Video
– BREAKING – Boston Marathon Explosion
– Runner captures. Marathon Explosion
– Video of Explosion at the Boston Marathon
Fase 3: Reindirizzazione
Una volta che il link è stato cliccato, la vittima viene reindirizzata a una pagina con una video notizia dell’evento. A loro insaputa, un iframe nascosto li reindirizza a una pagina di exploit, in questo caso:
– http://<IP Address>/news.html
– http://<IP Address>/boston.html
Fase 4: Exploit Kit
Il RedKit Exploit Kit usato in questo attacco scansiona le vulnerabilità sfruttabili e in questo caso sfrutta la vulnerabilità Oracle Java 7 Security Manager (CVE-2013-0422) per consegnare un file agli utenti del computer.
Fase 5: Dropper File
Questa particolare campagna ha utilizzato un dropper file non standard, un downloader nella famiglia Win32/Waledac per installare due bot: Win32/Kelihos e Troj/Zbot.
Fase 6: Call Home
Da questo momento, il computer avvisa il bot herder e convalida le comunicazioni.
Fase 7: Furto dei dati
In quella che può essere la fase più pericolosa per le aziende, il computer ora è impostato per intercettare i dati a lungo termine su endpoint o device, passando attraverso il device o accedendo dal dispositivo. Inoltre, questo può modificare l’endpoint in una nuova piattaforma per nuovi attacchi come l’invio di email non richieste o la partecipazione involontaria agli attacchi di denial of service (DDoS).
Osservando l’intera catena dell’attacco, i CSO hanno diverse opportunità di individuare i rischi e bloccarli prima che i dati siano compromessi. Questo approccio è molto più efficace nell’individuare e bloccare gli attacchi, piuttosto che cercare di rilevare un oggetto sconosciuto. Grazie alle analitiche multiple che controllano ogni anello nella catena di una minaccia, anche gli attacchi zero-day possono essere bloccati.
Le aziende oggi hanno bisogno di questi livelli di analisi, che rendono l’accesso alle reti e di conseguenza rubare i dati aziendali, molto più difficile, riducendo il rischio che Java rappresenta per le aziende.
