Uma vulnerabilidade
Java anteriormente desconhecida (também chamada de 0-day) e ainda sem correção está sendo utilizada em ataques por cibercriminosos para infectar computadores com malware, de acordo com pesquisadores em segurança. E o Brasil está entre os países mais afetados.
Um pesquisador de malware independente, que usa o pseudônimo de Kafeine,
reportounesta quinta (10) a existência do exploit na rede. Crackers estão usando tais kits de exploração para silenciosamente instalar o malware nas máquinas dos usuários que visitam sites comprometidos - ataques conhecidos como drive-by download.
"Há múltiplas redes de publicidade (ad networks) redirecionando para sites infectados, ampliando o problema. Encontramos anúncios em sites legítimos, especialmente na Inglaterra, Brasil e Rússia, que levam para domínios com o exploit. Isso inclui sites de previsão do tempo, notícias e, claro, pornografia", escreveu o pesquisador Kurt Baumgartner, da Kaspersky Lab, no blog da empresa.
Os pesquisadores estão compartilhando amostras da ameaça somente com empresas de segurança. "Isso poderia ser o caos", disse ele. "Eu acho que é melhor fazer menos alarde sobre isso por enquanto."
"Nós podemos confirmar que é uma nova vulnerabilidade", disse o analista sênior de ameaças online da empresa de antivírus Bitdefender, Bogdan Botezatu. "Nós reproduzimos o mecanismo de exploração no Java 7 Update 9 e Update 10. Outras versões talvez também estejam vulneráveis. Estamos atualmente analisando se outras versões antigas estão em risco." Até onde os testes da Bitdefender mostraram, o exploit é específico para o Java 7, disse Botezatu.
O exploit já foi adicionado a kit de ferramentas populares como o Blackhole, bem como no Cool Kit Exploit, disse Botezatu. "Outros relatos mencionam que também foi adicionado ao Redkit [um conjunto de ferramentas de exploração diferente], mas não podemos confirmar a informação no momento."
Atualização ainda não prevista
Utilizando captura de pacotes para o tráfego associado ao novo exploit Java, os pesquisadores da Bitdefender foram capazes de rastrear alguns ataques em 7 de janeiro. No entanto, eles acreditam que os golpes provavelmente começaram no último dia 2 ou 3, segundo Botezatu.
O código de ataque 0-day identificado é outro exemplo de vulnerabilidades de segurança Java que decorrem da implementação insegura da API Reflection do Java", disse Adam Gowdiak, fundador da Secutiry Explotations - uma empresa de segurança polonesa especializada em pesquisa de vulnerabilidades do Java.
O vetor de exploração usado no novo ataque também é conhecido pela Oracle, juntamente com o código de prova de conceito adicional para a edição de agosto, completou o especialista.
A Oracle ainda precisa confirmar a vulnerabilidade ou divulgar planos para as correções. A próxima atualização crítica para o Java está programada para 19 de fevereiro. A empresa não tem comentários adicionais para fazer no momento, segundo informou um representante.
Quando confrontados com uma situação semelhante em agosto, a Oracle decidiu sair de seu ciclo trimestral de patches e liberou uma atualização de emergência. "Eu acho que a Oracle não irá liberar um patch fora de hora novamente, sem investigar minuciosamente toda a extensão dos danos e garantir a qualidade da correção", disse Botezatu.
"A última vez que fizeram isso, em agosto, a correção na verdade acabou abrindo portas para uma técnica de exploração similar em versões do Java que não estavam vulneráveis anteriormente. Acredito que esta foi uma importante lição que pode atrasar o lançamento de uma correção."
Como se proteger
Os usuários devem desativar o plug-in do Java em seus navegadores o mais rápido possível e mantê-lo desativado até que um patch seja lançado, disse Botezatu. Aqueles que precisam de suporte Java no navegador em determinados sites devem permitir que o plug-in seja executado apenas nesses sites. Para fazer isso, basta desabilitar o Java nas propriedades de seu navegador, o que geralmente é feito no campo "Opções da Internet - Avançadas" do browser.
