Video: Уязвимость нулевого дня - 0day в WinRAR (Oktober 2024)
Javas rykte slo juling igjen, etter at Facebook avslørte at angripere hadde infiltrert de interne systemene sine etter å ha utnyttet en nulldagers sårbarhet.
Som PCMag.com rapporterte sent i går ettermiddag, sa Facebook at systemene deres hadde blitt "målrettet i et sofistikert angrep" i januar. Noen Facebook-ansatte, antagelig utviklere, ble smittet etter å ha besøkt et tredjeparts nettsted for mobilutviklere, sier selskapet i et Facebook Security-innlegg på nettstedet. Angriperne hadde tidligere kompromittert utviklernettstedet og injisert skadelig kode som utnyttet et sikkerhetshull i Java-pluginen. Nulldagers utnyttelse omgått Java sandkassen for å installere skadelig programvare på datamaskiner med offer, sa Facebook.
Facebook rapporterte om utnyttelsen til Oracle, og den ble lappet 1. februar. Oracle sa den gang at fiksen var planlagt til 19. februar, men hadde fremskyndet løslatelsen fordi den ble utnyttet i naturen. Det er ikke klart på dette tidspunktet hvilke av de 39 (av 50) Java Runtime Environment-feilene som var festet i den lappen, var den som ble brukt i denne utnyttelsen.
Facebook forsikret brukere om at ingen av brukerdataene hadde blitt kompromittert i angrepet, men indikerte ikke om noen av dens interne data hadde blitt berørt.
Twitter det andre offeret?
Facebook varslet flere andre selskaper som var blitt rammet av det samme angrepet og overførte etterforskningen til føderal lovhåndhevelse. Mens selskapet ikke identifiserte andre ofre, sammenfaller tidspunktet for angrepet med Twitters brudd. Brukerlegitimasjon hadde blitt utsatt i det angrepet. Nå som vi vet noen av detaljene om angrepet på Facebook, er det mening med Twitters kryptiske advarsel om å deaktivere Java-nettleser-plugins.
Som SecurityWatch tidligere rapporterte, har Twitters direktør for informasjonssikkerhet Bob Lord sagt: "Vi gir også ekko fra rådgivningen fra det amerikanske departementet for hjemmesikkerhet og sikkerhetseksperter for å oppmuntre brukere til å deaktivere Java på datamaskinene i nettleserne."
Piling på AV Ikke poenget
Facebook bemerket at kompromitterte bærbare datamaskiner "var fullstendig oppdaterte og kjører oppdatert antivirusprogramvare." Noen sikkerhetseksperter slo ut for å gjenta argumenter om at antivirus var en "mislykket teknolog." Noen få sa at Facebook skulle oppgi navnet på antivirus-leverandøren slik at andre kunder ville vite om de er i faresonen.
Historien å fokusere på her er ikke om antivirus skal ha oppdaget Java-utnyttelsen, men snarere at Facebook med hell brukte sitt lagdelte forsvar for å oppdage og stoppe angrepet. Selskapets sikkerhetsteam overvåker kontinuerlig infrastrukturen for angrep og flagget det mistenkelige domenet i bedriftens DNS-logger, sier Facebook. Teamet sporet den tilbake til en ansattes bærbare datamaskin, fant en ondsinnet fil etter å ha foretatt en rettsmedisinsk undersøkelse og flagget flere andre kompromitterte bærbare datamaskiner med den samme filen.
"Hatter av til Facebook for deres raske reaksjon på dette angrepet, de nappet det i knoppen, " sa Andrew Storms, direktør for sikkerhetsoperasjoner i nCircle, til SecurityWatch .
Sammen med lagvis sikkerhet gjennomfører Facebook også regelmessig simuleringer og øvelser for å teste forsvar og arbeide med hendelsesresponsere. Ars Technica skrev nylig en fascinerende beretning om en slik øvelse på Facebook der sikkerhetsteamene trodde de hadde å gjøre med en nulldagers utnyttelse og bakdørs kode. Denne typen simuleringer brukes i flere organisasjoner, både i offentlig og privat sektor.
Ikke så lett å bli kvitt Java
Som SecurityWatch bemerket tidligere denne måneden, er det lett å råde brukere til å deaktivere Java i nettleserne, men mange forretningsverktøy er fortsatt avhengige av nettleserens Java-plugin. Selv om jeg ikke er klar over noen utviklerverktøy som krever Java i nettleseren, er det nok av andre dominerende forretningsverktøy som gjør det. Akkurat her om dagen hadde jeg problemer med å få WebEx til å fungere på Chrome (Java deaktivert) og måtte huske å bytte til Internet Explorer (Java aktivert).
Angripere blir lure, kompromitterer legitime nettsteder og angriper besøkende på disse nettstedene. Hold programvaren og operativsystemet oppdatert, og kjør oppdatert sikkerhetsprogramvare. Reduser angrepsoverflaten der du kan, men viktigst av alt, være oppmerksom på hva som skjer på nettverket ditt.
