Video: Activar plugin Java y otros plugin NPAPI en Firefox 52 y Firefox 53 (Noviembre 2024)
Con el reciente exploit de día cero para Java, estamos superando el tambor "actualizar Java ahora" y tocando el fife "desactivar Java por completo" en el desfile de SecurityWatch . Si eso no fuera suficiente, las noticias recientes de que la campaña de ciberataques Red October hizo uso de un exploit de Java es solo una razón más para avanzar.
El vector de ataque Java fue descubierto por Seculert y anunciado el martes en el blog de la compañía. Si bien muchos atacantes hacen uso de exploits de Java, difiere de lo que se sabía anteriormente sobre Red October. En el informe inicial sobre la campaña de Kaspersky Labs, Red October se caracterizó por confiar en ataques de correo electrónico de spearphishing altamente dirigidos con archivos infectados.
"En vector, los atacantes enviaron un correo electrónico con un enlace incrustado a una página web PHP especialmente diseñada", escribe Seculert. "Esta página web explotó una vulnerabilidad en Java (CVE-2011-3544), y en segundo plano descargó y ejecutó el malware automáticamente".
No es un nuevo exploit
Es importante tener en cuenta que el ataque de Java utilizado por Red October no es el exploit de día cero que hemos estado cubriendo. De hecho, Seculert escribe que esta parte del ataque del Octubre Rojo se escribió alrededor de febrero de 2012, mientras que el exploit que usa fue parcheado en octubre de 2011. Es por eso que debe mantener su software parcheado y actualizado.
Después de que se publicaron las noticias sobre el aspecto Java del Octubre Rojo, Kaspersky publicó un seguimiento con más información. "Parece que este vector no fue muy utilizado por el grupo", escribe Kaspersky. "Cuando descargamos el php responsable de servir el archivo '.jar' de malcode, se comentó la línea de código que entregaba el exploit de Java".
Intentando caracterizar este aspecto del ataque, Kaspersky no cree que esto indique un enfoque diferente para Red October. En cambio, creen que está en línea con los ataques metódicos y bien investigados que son la marca registrada de Red October.
Lo que significa
"Podríamos especular que el grupo entregó con éxito su carga útil de malware a los objetivos apropiados durante unos días, luego ya no necesitó el esfuerzo", escribió Kaspersky ayer. "Lo que también puede decirnos que este grupo, que adaptó y desarrolló meticulosamente su conjunto de herramientas de infiltración y recolección al entorno de sus víctimas, tuvo la necesidad de cambiar a Java de sus técnicas habituales de pesca submarina a principios de febrero de 2012".
Kaspersky continuó escribiendo que varios aspectos técnicos de este ataque difieren de otros ataques de Red October, lo que hace que la compañía de seguridad crea que este exploit se desarrolló para un objetivo específico.
Es un alivio escuchar que el aspecto de Java del Octubre Rojo no se usó para apuntar a una franja más amplia de víctimas. Si bien esta campaña de ciberataque es aterradora en su efectividad, sus creadores se centraron en objetivos gubernamentales y diplomáticos de alto perfil y no en usuarios cotidianos. Sin embargo, también demuestra que muchos ataques de software son bien conocidos por los atacantes, quienes se aprovecharán de los usuarios perezosos que eluden sus actualizaciones.
Para más de Max, sígalo en Twitter @wmaxeddy.
