사용자를 속이기 위해 디지털 서명 된 Java Exploit을 사용하는 사이버 범죄자

서명 된 자바 악용 사례가 보안 연구원 인 에릭 롬앙 (Eric Romang)은 웹 사이트 g01pack에 감염된 독일의 켐 니츠 공과 대학 (Chemnitz University of Technology) 소속의 웹 사이트에 블로그 게시물을 올린 것으로 밝혀졌다.

"JUSTrich KUBEC, 위협 정보 담당 이사 안티 바이러스 업체 인 Avast는 이메일을 통해 말했다.

[추가 정보: Windows PC에서 악성 코드를 제거하는 방법]

이 악용이 새로운 취약점을 공격하는지 여부는 즉시 알 수 없거나 이미 패치 된 오래된 Java 결함입니다. 오라클은 월요일에 새로운 보안 업데이트 2 건을 발표했다. 그 중 하나는 공격자가 적극적으로 악용 한 것이다.

자바 악용은 전통적으로 서명되지 않은 애플릿 인 Java 웹 애플리케이션으로 제공되었다. 이러한 애플릿의 실행은 예전 Java 버전에서 자동화되어 있었기 때문에 해커가 희생자에게 완전히 투명 한 드라이브 바이 다운로드 공격을 시작할 수있었습니다.

Java 7의 인증서 해지 확인 설정

1 월 릴리스부터 Java 7 Update 11의 웹 기반 Java 컨텐츠에 대한 기본 보안 컨트롤은 high로 설정되어 있기 때문에 전자 서명 여부에 관계없이 애플릿이 브라우저 내에서 실행되기 전에 확인 메시지를 표시합니다.

서명되지 않은 익스플로잇을 서명되지 않은 익스플로잇을 통해 사용하는 것은 공격자에게 이점을 제공합니다. 두 경우의 자바에서 표시되는 확인 대화 상자가 상당히 다르기 때문입니다. 서명되지 않은 Java 애플릿 대화 상자는 실제로 "보안 경고"라는 제목이 붙어 있습니다. 전자 서명은 안티 바이러스 공급 업체 Bitdefender의 선임 전자 위협 분석가 인 Bogdan Botezatu가 전자 메일을 통해 말하면서 사용자가 자신의 코드를 신뢰할 수 있음을 보증하는 중요한 부분입니다. 그는 서명 된 코드에 대해 표시되는 확인 대화 상자는 서명되지 않은 코드의 경우에 표시되는 대화 상자보다 훨씬 더 분리되고 위협적이지 않다고 말했다. "또한 Java는 서명 된 코드와 서명되지 않은 코드를 다르게 처리하고 보안 제한을 적절히 적용합니다."라고 Botezatu 고 밝혔다. 예를 들어, Java 보안 설정이 "매우 높음"으로 설정된 경우 서명되지 않은 애플릿은 전혀 실행되지 않고 사용자가 조치를 확인하면 서명 된 애플릿이 실행됩니다. 매우 높은 Java 보안 설정이 시행되는 기업 환경에서 코드 서명은 공격자가 대상 시스템에서 악성 애플릿을 실행할 수있는 유일한 방법 일 수 있다고 그는 말했다.

Java 7 Update 17에서 서명 된 Java 애플릿에 대한 보안 경고의 예 이 새로운 자바 악용은 Java가 기본적으로 디지털 인증서 폐기를 확인하지 않는다는 사실을 밝혀줍니다.

월요일 연구원들이 발견 한 악용 사례는 도난 당할 가능성이 가장 높은 디지털 인증서로 체결되었습니다. 인증서는 Go Daddy가 Texas Austin에 위치한 Clearesult Consulting이라는 회사에 발행되었으며 2012 년 12 월 7 일에 취소되었습니다.

인증서 취소는 소급 적용될 수 있으며 정확히 Go Daddy가 취소 인증서. 그러나 2 월 25 일이 악용 사례가 발견 된 지 3 일 전에이 인증서는 회사에서 발행 한 인증서 해지 목록에 이미 취소 된 것으로 나타났습니다. 그럼에도 불구하고 Java는 인증서를 유효한 것으로 간주합니다.

Java 제어판의 "고급"탭에서 "고급 보안 설정"범주 아래에 "인증서 해지 목록 (CRL)을 사용하여 해지 할 인증서 확인) "및"온라인 인증서 유효성 검사 사용 "- 두 번째 옵션은 OCSP (온라인 인증서 상태 프로토콜)를 사용합니다. 이 두 가지 옵션은 기본적으로 비활성화되어 있습니다.

오라클은 이번에이 문제에 대해 아무런 언급도하지 않고 있으며, 이메일을 통해 영국의 PR 대행사는 화요일에 말했다. "편의를 위해 보안을 희생시키는 것은 보안에 대한 심각한 감시이다. 특히 Java가 가장 타깃이 된 타사 제품 2012 년 11 월 이후로 소프트웨어의 "Botezatu 고 말했다. 그러나 오라클은 이것만으로 혼자가 아니다. 연구원은 Adobe가 Adobe Reader 11에 사용상의 이유로 기본 샌드 박스 메커니즘을 사용하지 않도록 설정했다는 사실을 지적했다. Botezatu와 Kubec은 공격자가 디지털 서명 된 Java 보안 회사 Bit9는 최근에 해커가 디지털 인증서 중 하나를 손상시키고 악성 코드에 서명하는 데 사용함을 밝혀 냈습니다. 작년 해커들은 어도비의 디지털 인증서 손상으로 동일한 결과를 보였다.

이러한 사건과이 새로운 자바 악용은 유효한 디지털 인증서가 악성 코드에 서명 할 수 있다는 증거이다. 이러한 맥락에서 인증서 폐기를 적극적으로 점검하는 것은 인증서 포기의 경우에 사용할 수있는 유일한 완화이기 때문에 특히 중요하다고 그는 말했다.

브라우저에서 자바를 매일 사용해야하는 사용자는 인증서 해지 확인 기능을 보안 취약점 조사 기관인 Security Explorations의 설립자 인 Adam Gowdiak는 이메일을 통해 도난당한 인증서를 이용한 공격으로부터 시스템을 보호한다고 설명했습니다. Security Explorations 연구원은 지난 해 50 가지 이상의 Java 취약점을 발견하여보고했습니다.

사용자는 이러한 인증서 해지 옵션을 수동으로 활성화해야하지만 많은 사람들이 보안 업데이트를 설치하지 않는다고 생각하기 때문에 Kubec은. 연구원은 오라클이 향후 업데이트에서이 기능을 자동으로 켜기를 희망합니다.