उपयोगकर्ताओं को धोखा देने के लिए डिजिटल हस्ताक्षरित जावा शोषण का उपयोग कर साइबर अपराधियों

सुरक्षा शोधकर्ताओं ने चेतावनी दी है कि साइबर अपराधियों ने डिजिटल सर्टिफिकेट्स के साथ हस्ताक्षर किए गए जावा शोषण का उपयोग करना शुरू कर दिया है ताकि उपयोगकर्ताओं को दुर्भावनापूर्ण कोड ब्राउज़र के अंदर चलाने की अनुमति मिल सके।

एक हस्ताक्षरित जावा शोषण सोमवार को खोजा गया था जर्मनी में केमनीट्स यूनिवर्सिटी ऑफ टेक्नोलॉजी से संबंधित वेबसाइट जो जी 01pack नामक वेब शोषण टूलकिट से संक्रमित थी, सुरक्षा शोधकर्ता एरिक रोमांग ने मंगलवार को एक ब्लॉग पोस्ट में कहा।

"यह निश्चित रूप से गो पैक है," जिंद्रिच कुबेक, धमकी खुफिया निदेशक एंटीवायरस विक्रेता अवास्ट, ईमेल के माध्यम से कहा। इस हस्ताक्षर किए गए जावा शोषण का पहला नमूना 28 फरवरी को पता चला था।

[आगे पढ़ना: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

यह शोषण तुरंत एक नई भेद्यता को लक्षित करता है या नहीं, एक पुराना जावा दोष जो पहले से ही पैच किया गया है। ओरेकल ने सोमवार को दो महत्वपूर्ण भेद्यताओं को संबोधित करने के लिए नए जावा सुरक्षा अपडेट जारी किए, जिनमें से एक हमलावरों द्वारा सक्रिय रूप से शोषण किया जा रहा था।

जावा शोषण पारंपरिक रूप से हस्ताक्षरित एप्लेट्स-जावा वेब अनुप्रयोगों के रूप में वितरित किए गए हैं। पुराने जावा संस्करणों में ऐसे एप्लेट्स को निष्पादित किया जाता था, जिसने हैकर्स को डाउनलोड-हमलों से ड्राइव लॉन्च करने की इजाजत दी जो पीड़ितों के लिए पूरी तरह से पारदर्शी थे।

जावा 7 में प्रमाणपत्र निरसन जांच सेटिंग

जनवरी रिलीज से शुरू जावा 7 अपडेट 11 के, वेब-आधारित जावा सामग्री के लिए डिफ़ॉल्ट सुरक्षा नियंत्रण उच्च पर सेट किए गए हैं, जो एप्लेट को ब्राउज़र के अंदर चलाने की अनुमति देने से पहले पुष्टिकरण के लिए उपयोगकर्ताओं को संकेत देते हैं, भले ही वे डिजिटल हस्ताक्षरित हैं या नहीं।

उस ने कहा, हस्ताक्षरित लोगों पर हस्ताक्षरित शोषण का उपयोग हमलावरों के लिए लाभ प्रदान करता है, क्योंकि दो मामलों में जावा द्वारा प्रदर्शित पुष्टिकरण संवाद काफी अलग हैं। हस्ताक्षर किए गए जावा एप्लेट्स के लिए संवाद वास्तव में "सुरक्षा चेतावनी" शीर्षक वाले हैं।

डिजिटल हस्ताक्षर उपयोगकर्ताओं को आश्वस्त करने का एक महत्वपूर्ण हिस्सा है कि वे आपके कोड पर भरोसा कर सकते हैं, एंटीवायरस विक्रेता बिटकडेन्डर में एक वरिष्ठ ई-धमकी विश्लेषक बोगदान बोटेजातु, ईमेल के माध्यम से कहा। हस्ताक्षर किए गए कोड के लिए प्रदर्शित पुष्टिकरण संवाद हस्ताक्षरित कोड के मामले में प्रदर्शित किए गए एक से अधिक असुरक्षित और कम खतरनाक है।

"इसके अतिरिक्त, जावा स्वयं हस्ताक्षरित और हस्ताक्षरित कोड को अलग-अलग संसाधित करता है और सुरक्षा प्रतिबंधों को उचित रूप से लागू करता है," बोटेजातु कहा हुआ। उदाहरण के लिए, यदि जावा सुरक्षा सेटिंग्स "बहुत अधिक" पर सेट की गई हैं, तो हस्ताक्षरित एप्लेट बिल्कुल नहीं चलेंगे, जबकि उपयोगकर्ता द्वारा कार्रवाई की पुष्टि करने पर हस्ताक्षरित एप्लेट चलाए जाएंगे। कॉर्पोरेट वातावरण में जहां बहुत अधिक जावा सुरक्षा सेटिंग्स लागू की जाती हैं, हमलावरों को लक्षित सिस्टम पर दुर्भावनापूर्ण एप्लेट चलाने का एकमात्र तरीका हो सकता है।

जावा 7 में हस्ताक्षर किए गए जावा एप्लेट के लिए सुरक्षा चेतावनी का उदाहरण 17 अपडेट 17

इस नए जावा शोषण ने इस तथ्य को प्रकाश में लाया है कि जावा डिफ़ॉल्ट रूप से डिजिटल सर्टिफिकेट निरसन की जांच नहीं करता है।

शोधकर्ताओं द्वारा सोमवार को किए गए शोषण पर डिजिटल प्रमाणपत्र के साथ हस्ताक्षर किए गए थे, जो चोरी की संभावना है। प्रमाण पत्र गो डैडी द्वारा ऑस्टिन, टेक्सास में स्थित क्लेरसल्ट कंसल्टिंग नामक एक कंपनी को जारी किया गया था, और बाद में 7 दिसंबर, 2012 की तारीख के साथ रद्द कर दिया गया था।

सर्टिफिकेट रिवोकेशन पूर्ववत रूप से लागू हो सकते हैं और यह स्पष्ट नहीं है कि वास्तव में गो डैडी ने ध्वजांकित किया था निरसन के लिए प्रमाण पत्र। हालांकि, 25 फरवरी को, इस शोषण के सबसे पुराने नमूने के तीन दिन पहले पता चला था, कंपनी द्वारा प्रकाशित प्रमाणपत्र रद्द करने की सूची में प्रमाण पत्र को पहले से ही रद्द कर दिया गया था, कुबेक ने कहा। इसके बावजूद, जावा सर्टिफिकेट को वैध मानता है।

जावा कंट्रोल पैनल के "उन्नत" टैब पर, "उन्नत सुरक्षा सेटिंग्स" श्रेणी के तहत, दो विकल्प हैं जिन्हें "प्रमाणपत्र निरस्तीकरण सूची (सीआरएल का उपयोग करके निरस्तीकरण के लिए प्रमाण पत्र जांचें)) "और" ऑनलाइन प्रमाण पत्र सत्यापन सक्षम करें "- दूसरा विकल्प ओसीएसपी (ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल) का उपयोग करता है। इन दोनों विकल्पों को डिफ़ॉल्ट रूप से अक्षम कर दिया गया है।

इस समय ओरेकल की इस समस्या के बारे में कोई टिप्पणी नहीं है, यूके में ओरेकल की पीआर एजेंसी ने मंगलवार को ईमेल के माध्यम से कहा।

"सुविधा के लिए सुरक्षा बलिदान एक गंभीर सुरक्षा निगरानी है, खासकर जब जावा सबसे लक्षित तृतीय पक्ष का टुकड़ा रहा है नवंबर 2012 से सॉफ्टवेयर का, "बोटेजातु ने कहा। हालांकि, ओरेकल इस में अकेला नहीं है, शोधकर्ता ने कहा कि एडोब एडोब रीडर 11 को उपयोगिता कारणों के लिए डिफ़ॉल्ट रूप से अक्षम एक महत्वपूर्ण सैंडबॉक्स तंत्र के साथ भेजता है।

बोटेजातु और कुबेक दोनों को आश्वस्त किया जाता है कि हमलावर डिजिटल रूप से हस्ताक्षरित जावा का उपयोग शुरू कर देंगे जावा के नए सुरक्षा प्रतिबंधों को और आसानी से बाईपास करने के लिए शोषण।

सुरक्षा फर्म बिट 9 ने हाल ही में खुलासा किया है कि हैकर्स ने अपने डिजिटल प्रमाणपत्रों में से एक समझौता किया है और मैलवेयर पर हस्ताक्षर करने के लिए इसका इस्तेमाल किया है। पिछले साल, हैकर्स ने एडोब से एक समझौता किए गए डिजिटल सर्टिफिकेट के साथ ऐसा ही किया था।

उन घटनाओं और इस नए जावा शोषण का प्रमाण है कि मान्य डिजिटल प्रमाणपत्र दुर्भावनापूर्ण कोड पर हस्ताक्षर कर सकते हैं, बोटेजातु ने कहा। इस संदर्भ में, प्रमाणपत्र निरसन की सक्रिय रूप से जांच करना विशेष रूप से महत्वपूर्ण है क्योंकि प्रमाण पत्र समझौता के मामले में यह एकमात्र शमन उपलब्ध है।

जिन उपयोगकर्ताओं को रोज़ाना ब्राउज़र में जावा की आवश्यकता होती है, उन्हें बेहतर तरीके से प्रमाणपत्र निरसन जांच को सक्षम करने पर विचार करना चाहिए ईमेल के माध्यम से पोलिश भेद्यता अनुसंधान फर्म सुरक्षा अन्वेषण के संस्थापक एडम गौडियाक ने कहा, चुराए गए प्रमाण पत्रों का शोषण करने वाले हमलों के खिलाफ सुरक्षा। सुरक्षा अन्वेषण शोधकर्ताओं ने पिछले वर्ष में 50 से अधिक जावा भेद्यताएं पाई हैं और रिपोर्ट की हैं।

जबकि उपयोगकर्ताओं को इन प्रमाण पत्र निरसन विकल्पों को मैन्युअल रूप से सक्षम करना चाहिए, उनमें से कई शायद यह नहीं मानेंगे कि वे सुरक्षा अद्यतन भी इंस्टॉल नहीं करते हैं, कुबेक ने कहा । शोधकर्ता उम्मीद करता है कि ओरेकल भविष्य में अपडेट में स्वचालित रूप से सुविधा को चालू कर देगा।