นักวิจัยด้านความปลอดภัยเตือนว่าอาชญากรไซเบอร์เริ่มใช้การโจมตี Java ที่ลงนามร่วมกับใบรับรองดิจิทัลเพื่อหลอกล่อให้ผู้ใช้อนุญาตให้โค้ดที่เป็นอันตรายทำงานในเบราว์เซอร์

<อ่านต่อ: วิธีลบมัลแวร์จากพีซีที่ใช้ Windows ของคุณ

ยังไม่ทราบแน่ชัดว่าการโจมตีครั้งนี้มีเป้าหมายไปที่ช่องโหว่ใหม่หรือ ข้อบกพร่อง Java เก่าที่ได้รับการแก้ไขแล้ว Oracle เปิดตัวการรักษาความปลอดภัย Java รุ่นใหม่ในวันจันทร์เพื่อแก้ไขช่องโหว่ที่สำคัญ 2 ช่องซึ่งหนึ่งในนั้นถูกโจมตีโดยผู้บุกรุกอย่างจริงจัง

Java exploits ได้รับการเผยแพร่เป็นแอพพลิเคชัน Java Web ที่ไม่ได้รับการรับรอง การเปิดใช้งานแอ็พเพล็ตดังกล่าวเกิดขึ้นโดยอัตโนมัติเมื่อใช้ Java เวอร์ชันเก่าซึ่งอนุญาตให้แฮกเกอร์เปิดการโจมตีด้วยการดาวน์โหลดที่สมบูรณ์แบบสำหรับผู้ที่ตกเป็นเหยื่อ

การตรวจสอบการเพิกถอนใบรับรองใน Java 7

เริ่มจากการเผยแพร่ในเดือนมกราคม ของ Java 7 Update 11 การควบคุมความปลอดภัยเริ่มต้นสำหรับเนื้อหา Java บนเว็บจะถูกตั้งค่าให้สูงกระตุ้นให้ผู้ใช้ยืนยันก่อนที่แอพเพล็ตจะได้รับอนุญาตให้ทำงานภายในเบราว์เซอร์ไม่ว่าจะมีการเซ็นชื่อแบบดิจิทัลหรือไม่

การใช้การโจมตีที่ลงนามโดยไม่ได้ลงนามจะให้ประโยชน์สำหรับผู้โจมตีเนื่องจากกล่องโต้ตอบการยืนยันที่แสดงโดย Java ในทั้งสองกรณีมีความแตกต่างกันมาก "การเตือนด้านความปลอดภัย"

การลงนามแบบดิจิตอลถือเป็นส่วนสำคัญในการทำให้ผู้ใช้มั่นใจได้ว่ารหัสของคุณนั้น Bogdan Botezatu นักวิเคราะห์อาวุโสด้านอีเลิร์นนิ่งของ Bitdefender กล่าวว่าทางอีเมล์ กล่องโต้ตอบการยืนยันที่แสดงขึ้นสำหรับโค้ดที่เซ็นชื่อมีความแตกต่างกันมากและไม่ค่อยมีอันตรายมากกว่าที่แสดงในกรณีของรหัสที่ไม่ได้ลงชื่อเขากล่าว

"นอกจากนี้ Java ยังประมวลผลโค้ดที่ลงนามและไม่ได้รับการรับรองต่างกันและบังคับใช้ข้อ จำกัด ด้านความปลอดภัยอย่างเหมาะสม" Botezatu กล่าว. ตัวอย่างเช่นถ้าการตั้งค่าความปลอดภัยของ Java ถูกตั้งค่าเป็น "สูงมาก" แอพเพล็ตที่ไม่ได้ลงชื่อจะไม่ทำงานเลยในขณะที่แอพเพล็ตที่ลงนามจะทำงานถ้าผู้ใช้ยืนยันการกระทำ ในสภาพแวดล้อมขององค์กรที่ใช้การตั้งค่าความปลอดภัย Java สูงการเซ็นชื่อรหัสอาจเป็นวิธีเดียวที่ผู้โจมตีสามารถเรียกใช้แอพเพล็ตที่เป็นอันตรายได้ในระบบเป้าหมายเขากล่าว

ตัวอย่างคำเตือนด้านความปลอดภัยสำหรับแอพพลิเคชัน Java ที่ลงนามใน Java 7 Update 17

การใช้ประโยชน์จาก Java ใหม่นี้ได้นำมาสู่ความจริงที่ว่า Java จะไม่ตรวจสอบการเพิกถอนใบรับรองดิจิทัลโดยค่าเริ่มต้น

การใช้ประโยชน์จากนักวิจัยในวันจันทร์นี้ได้ลงนามร่วมกับใบรับรองดิจิทัลที่อาจถูกขโมย หนังสือรับรองนี้ออกโดย Go Daddy ให้กับ บริษัท ที่เรียกว่า Clearesult Consulting จาก Austin Texas และถูกเพิกถอนในวันที่ 7 ธันวาคม 2012

การเพิกถอนใบรับรองสามารถใช้ย้อนหลังได้ ใบรับรองการเพิกถอน อย่างไรก็ตามในวันที่ 25 กุมภาพันธ์สามวันก่อนกลุ่มตัวอย่างที่เก่าแก่ที่สุดของการโจมตีนี้ถูกตรวจพบใบรับรองถูกระบุว่าถูกเพิกถอนในรายการเพิกถอนใบรับรองที่เผยแพร่โดย บริษัท Kubec กล่าว "แท็บ Advanced" ของแผงควบคุม Java ภายใต้หมวด "Advanced security settings" มีสองตัวเลือกเรียกว่า "ตรวจสอบใบรับรองสำหรับการเพิกถอนโดยใช้รายการยกเลิกใบรับรอง (CRLs)) "และ" เปิดใช้การรับรองความถูกต้องของใบรับรองออนไลน์ "- ตัวเลือกที่สองใช้ OCSP (Online Certificate Status Protocol) ตัวเลือกทั้งสองนี้ถูกปิดใช้งานโดยค่าเริ่มต้น

Oracle ไม่มีความคิดเห็นใด ๆ เกี่ยวกับปัญหานี้ในเวลานี้สำนักข่าวออราเคิลของออเคสตร้าในสหราชอาณาจักรกล่าวในวันอังคารว่าทางอีเมล

"การรักษาความปลอดภัยเพื่อความสะดวกสบายคือการดูแลด้านความปลอดภัยอย่างร้ายแรงโดยเฉพาะอย่างยิ่งเนื่องจาก Java ได้กลายเป็นบุคคลที่สามที่ตรงเป้าหมายที่สุด ของซอฟต์แวร์ตั้งแต่เดือนพฤศจิกายน 2012 "Botezatu กล่าว อย่างไรก็ตาม Adobe ไม่ได้เป็นคนเดียวในเรื่องนี้นักวิจัยกล่าวว่า Adobe ได้จัดจำหน่าย Adobe Reader 11 ด้วยกลไก sandbox ที่สำคัญที่ถูกปิดการใช้งานโดยปริยายเนื่องจากความสามารถในการใช้งาน

ทั้ง Botezatu และ Kubec เชื่อมั่นว่าผู้โจมตีจะเริ่มใช้ Java Java แบบเดิม การใช้ประโยชน์เพื่อหลีกเลี่ยงข้อ จำกัด ด้านความปลอดภัยใหม่ของ Java ได้ง่ายขึ้น

บริษัท รักษาความปลอดภัย Bit9 เพิ่งเปิดเผยว่าแฮกเกอร์ได้ละเมิดหนึ่งในใบรับรองดิจิทัลและใช้เพื่อลงชื่อในมัลแวร์ ปีล่าสุดแฮ็กเกอร์ทำเช่นเดียวกันกับใบรับรองดิจิทัลที่ถูกประนีประนอมจาก Adobe

เหตุการณ์เหล่านี้และการใช้ประโยชน์จาก Java ใหม่นี้เป็นหลักฐานว่าใบรับรองดิจิทัลที่ถูกต้องสามารถลงนามในโค้ดที่เป็นอันตรายได้ Botezatu กล่าว ในบริบทนี้การตรวจสอบการเพิกถอนใบรับรองมีความสำคัญเป็นพิเศษเนื่องจากเป็นเพียงการลดทอนความสามารถในการประนีประนอมใบรับรองเท่านั้น

ผู้ใช้ที่ต้องการ Java ในเบราเซอร์ทุกวันควรพิจารณาให้การตรวจสอบการเพิกถอนใบรับรองทำได้ดีขึ้น กล่าวว่า Adam Gowdiak ผู้ก่อตั้ง บริษัท Security Explorations แห่ง บริษัท วิจัยช่องโหว่ของโปแลนด์เปิดเผยว่า นักวิจัยค้นพบและรายงานช่องโหว่ Java กว่า 50 ช่องในปีที่ผ่านมา

ในขณะที่ผู้ใช้ควรเปิดใช้งานตัวเลือกการเพิกถอนใบรับรองเหล่านี้ด้วยตนเอง แต่หลายคนอาจไม่ได้พิจารณาว่าพวกเขาไม่ได้ติดตั้งโปรแกรมปรับปรุงความปลอดภัย Kubec กล่าว. ผู้วิจัยหวังว่าออราเคิลจะเปิดใช้คุณลักษณะนี้โดยอัตโนมัติในการอัพเดตในอนาคต