مجرمو الإنترنت باستخدام مداخل جافا موقعة رقميا لخداع المستخدمين

يحذر الباحثون الأمنيون من أن المجرمين الإلكترونيين قد بدأوا باستخدام مآثر جافا موقعة بشهادات رقمية لخداع المستخدمين للسماح بالشفرة الخبيثة للتشغيل داخل المتصفحات

تم اكتشاف استغلال جافا موقّع يوم الإثنين على وقال الباحث في مجال الأمن اريك رومانج الثلاثاء في موقع مدونة على الإنترنت: "من المؤكد أنها حزمة go01 pack" ، جندريتش كوبيك ، مدير قسم استخبارات التهديد في الموقع الإلكتروني ، الذي ينتمي إلى جامعة كيمنتس للتكنولوجيا بألمانيا التي أصيبت بمجموعة أدوات استغلال الإنترنت تسمى g01pack. وقال بائع مضاد الفيروسات أفاست ، عبر البريد الإلكتروني. تم اكتشاف أول عينة من هذا البرنامج الذي وقع عليه جافا في 28 فبراير ، قال

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

ولم يتضح على الفور ما إذا كان هذا الاستهداف يستهدف نقطة ضعف جديدة أو عيب جافا القديمة التي تم تصحيحها بالفعل. أصدرت أوراكل تحديثات أمنية جديدة لـ Java يوم الإثنين لمعالجة نقطتين من الثغرات الخطيرة ، أحدهما تم استغلاله بشكل فعال من قبل المهاجمين.

تم استغلال تطبيقات Java التقليدية بشكل تقليدي كتطبيقات تطبيقات Java غير الموقعة. تم استخدام تنفيذ هذه التطبيقات آليًا في إصدارات Java القديمة ، والتي سمحت للمتطفلين بإطلاق هجمات التنزيل من خلال محرك الأقراص التي كانت شفافة تمامًا للضحايا.

إعدادات التحقق من إبطال الشهادات في Java 7

البدء بإصدار يناير من Java 7 Update 11 ، يتم تعيين عناصر تحكم الأمان الافتراضية لمحتوى Java المستند إلى الويب إلى أعلى ، مما يدفع المستخدمين للتأكيد قبل السماح بتشغيل التطبيقات داخل المتصفحات ، بغض النظر عما إذا كانت موقعة رقميًا أم لا.

ومع ذلك ، استخدام مآثر موقعة على غير الموقعة منها يوفر فوائد للمهاجمين ، لأن مربعات حوار التأكيد التي تعرضها Java في الحالتين مختلفة بشكل كبير. إن مربعات الحوار الخاصة بتطبيقات Java غير الموقعة هي في الواقع تحمل عنوان "تحذير أمان".

يعد التوقيع الرقمي جزءًا هامًا من تأكيد المستخدمين على أنهم يمكن أن يثقوا في شفرتك ، هذا ما قاله بوجدان بوتيزاتو ، وهو محلل كبير للتهديدات الإلكترونية في شركة مكافحة الفيروسات Bitdefender ، عبر البريد الإلكتروني. وقال إن مربع حوار التأكيد الخاص بالشفرة الموقّعة هو أكثر تميزًا وأقل تهديدًا من ذلك المعروض في حالة الشفرة غير الموقعة.

"بالإضافة إلى ذلك ، تعالج Java نفسها الشفرة الموقعة وغير الموقعة بشكل مختلف وتنفذ قيود الأمان بشكل مناسب" ، Botezatu قال. على سبيل المثال ، إذا تم ضبط إعدادات أمان Java على "عالية جدًا" ، فلن تعمل التطبيقات غير الموقعة على الإطلاق ، بينما سيتم تشغيل التطبيقات الصغيرة الموقعة إذا أكد المستخدم الإجراء. في بيئات الشركات حيث يتم فرض إعدادات أمان Java عالية جدًا ، قد يكون توقيع الشفرة هو الطريقة الوحيدة للمهاجمين لتشغيل برنامج ضار على نظام مستهدف ، على سبيل المثال

مثال على تحذير الأمان لبرنامج Java الموقّع في Java 7 Update 17

هذا الاستغلال الجديد لـ Java قد سلط الضوء أيضًا على حقيقة أن جافا لا تتحقق من إبطال الشهادة الرقمية بشكل افتراضي.

تم استغلال الاستغلال الذي وجده الباحثون يوم الاثنين بشهادة رقمية من الأرجح أنها سرقت. تم إصدار الشهادة من قبل Go Daddy إلى شركة تسمى Clearesult Consulting ومقرها في أوستن بتكساس ، وتم إبطالها لاحقًا بتاريخ 7 ديسمبر 2012.

يمكن إبطال إقرار الشهادات بأثر رجعي ، وليس من الواضح متى تم تحديد Go Daddy شهادة للإلغاء. ومع ذلك ، في 25 فبراير ، قبل ثلاثة أيام من اكتشاف أقدم عينة من هذا الاستغلال ، تم إدراج الشهادة بالفعل على النحو الذي تم إبطاله في قائمة إبطال الشهادات التي نشرتها الشركة ، على حد قول كوبيك. على الرغم من ذلك ، ترى Java أن الشهادة صالحة.

في علامة التبويب "خيارات متقدمة" في لوحة تحكم Java ، تحت فئة "إعدادات الأمان المتقدمة" ، هناك خياران يسمى "التحقق من الشهادات للإلغاء باستخدام قوائم إبطال الشهادات (CRLs)) "و" تمكين التحقق من صحة الشهادة عبر الإنترنت "- يستخدم الخيار الثاني OCSP (بروتوكول حالة شهادة عبر الإنترنت). يتم تعطيل كلا الخيارين افتراضيًا.

لا تملك شركة أوراكل أي تعليق حول هذه المسألة في هذا الوقت ، حسبما ذكرت وكالة العلاقات العامة في أوراكل في المملكة المتحدة الثلاثاء عبر البريد الإلكتروني.

"التضحية بالأمن من أجل الراحة هي إشراف أمني خطير ، خاصة وأن جافا كانت أكثر الجهات المستهدفة من طرف ثالث من البرامج منذ نوفمبر 2012 ، "Botezatu قال. ومع ذلك ، فإن أوراكل ليست وحدها في هذا ، كما قال الباحث ، مشيرا إلى أن أدوبي سفن أدوبي ريدر 11 مع آلية رمل مهم معطلة افتراضيا لأسباب الاستخدام.

كل من بوتيزاتو وكوبيك مقتنعان بأن المهاجمين سيبدأون بشكل متزايد باستخدام جافا موقعة رقميا يستغل من أجل تجاوز القيود الأمنية الجديدة لجافا بسهولة أكبر.

كشفت شركة الأمن Bit9 مؤخرا أن المتسللين فضحوا واحدة من شهاداتها الرقمية واستخدمته لتوقيع البرامج الضارة. في العام الماضي ، فعل المتسللون الشيء نفسه مع شهادة رقمية مخترقة من شركة Adobe.

هذه الحوادث واستغلال جافا الجديد هذا دليل على أن الشهادات الرقمية الصحيحة يمكن أن تنتهي بتوقيع رمز خبيث ، على حد قول Botezatu. وفي هذا السياق ، فإن التحقق الفعال من إبطال الشهادات أمر مهم بشكل خاص لأنه التخفيف الوحيد المتاح في حالة التنازل عن الشهادة ، على حد قوله.

المستخدمون الذين يحتاجون إلى جافا في المتصفح بشكل يومي ، يجب أن يفكروا في تمكين التحقق من إبطال الشهادة بشكل أفضل وقال آدم جودياك ، مؤسس شركة "إكسبلور إكسبلوريشنز" للبحث الإلكتروني في مجال الثغرات الأمنية ، عبر البريد الإلكتروني: "حماية ضد الهجمات التي تستغل الشهادات المسروقة". الاستكشافات الأمنية وجد الباحثون أكثر من 50 من نقاط الضعف في جافا في العام الماضي.

على الرغم من أنه ينبغي على المستخدمين تمكين خيارات إلغاء الشهادة هذه يدويًا ، إلا أن العديد منهم لن يقوموا بذلك على الأرجح ، حتى أنهم لا يقومون بتثبيت تحديثات الأمان ، حسبما قال كوبيك.. يأمل الباحث أن تقوم أوراكل بتشغيل الميزة تلقائيًا في تحديث مستقبلي.