Video: Уязвимость нулевого дня - 0day в WinRAR (Oktober 2024)
Java's omdømme fik en slag igen, efter at Facebook afslørede, at angribere havde infiltreret dets interne systemer efter at have udnyttet en nul-dages sårbarhed.
Som PCMag.com rapporterede sent i går eftermiddag, sagde Facebook, at dens systemer var blevet "målrettet i et sofistikeret angreb" i januar. Nogle Facebook-medarbejdere, formodentlig udviklere, blev smittet efter at have besøgt et tredjeparts mobiludviklerwebsted, siger virksomheden i et Facebook Security-post på stedet. Angribere havde tidligere kompromitteret udviklerwebstedet og injiceret ondsindet kode, der udnyttede et sikkerhedshul i Java-plugin. Nul-dages udnyttelse omgås Java-sandkassen for at installere malware på offercomputere, sagde Facebook.
Facebook rapporterede udnyttelsen til Oracle, og den blev lappet 1. februar. Oracle sagde på det tidspunkt, at rettelsen var planlagt til 19. februar, men havde fremskyndet frigivelsen, fordi den blev udnyttet i naturen. Det er ikke klart på dette tidspunkt, hvilke af de 39 (ud af 50) Java Runtime-miljøfejl, der blev fikset i denne patch, var den, der blev brugt i denne udnyttelse.
Facebook forsikrede brugere om, at ingen af brugerdataene var blevet kompromitteret i angrebet, men angav ikke, om nogen af dens interne data var blevet påvirket.
Twitter det andet offer?
Facebook underrettede flere andre virksomheder, der var blevet ramt af det samme angreb og overførte efterforskningen til føderal retshåndhævelse. Mens virksomheden ikke identificerede andre ofre, falder tidspunktet for angrebet sammen med Twitter's overtrædelse. Brugernes legitimationsoplysninger var blevet udsat for dette angreb. Nu hvor vi kender nogle af detaljerne om angrebet på Facebook, giver Twitter's kryptiske advarsel om deaktivering af Java browser-plugins mening.
Som SecurityWatch tidligere rapporterede, har Twitter's direktør for informationssikkerhed Bob Lord sagt: "Vi gentager også rådgivningen fra det amerikanske ministerium for sikkerhed i hjemmet og sikkerhed for at opmuntre brugerne til at deaktivere Java på deres computere i deres browsere."
Højning på AV Ikke punktet
Facebook bemærkede, at de kompromitterede bærbare computere "var fuldt opdateret og kører up-to-date antivirus-software." Nogle sikkerhedseksperter sprang ud for at gentage deres argumenter om, at antivirus var en "mislykket teknolog." Et par få sagde, at Facebook skulle afsløre navnet på antivirus-leverandøren, så andre kunder ville vide, om de er i fare.
Historien, der skal fokuseres på her, er ikke, om antivirus burde have opdaget Java-udnyttelsen, men snarere at Facebook med succes brugte det lagdelte forsvar til at opdage og stoppe angrebet. Virksomhedens sikkerhedsteam overvåger kontinuerligt infrastrukturen for angreb og markerer det mistænkelige domæne i virksomhedernes DNS-logfiler, siger Facebook. Holdet spores tilbage til en medarbejderes bærbare computer, fandt en ondsindet fil efter at have udført en retsmedicinsk undersøgelse og markerede flere andre kompromitterede bærbare computere med den samme fil.
"Hatte af til Facebook for deres hurtige reaktion på dette angreb, de spaltede det i knoppen, " fortalte Andrew Storms, direktør for sikkerhedsoperationer i nCircle, til SecurityWatch .
Sammen med lagdelt sikkerhed udfører Facebook også regelmæssigt simuleringer og øvelser for at teste forsvar og arbejde med hændelsesresponsere. Ars Technica for nylig kroniserede en fascinerende beretning om en sådan øvelse på Facebook, hvor sikkerhedsteamene troede, de havde at gøre med en nul-dages udnyttelse og bagdørskode. Denne slags simuleringer bruges i flere organisationer, både i den offentlige og private sektor.
Ikke så let at slippe af med Java
Som SecurityWatch bemærkede tidligere denne måned, er det let at rådgive brugerne om at deaktivere Java i deres browsere, men mange forretningsværktøjer er stadig afhængige af browserens Java-plugin. Selvom jeg ikke er opmærksom på nogen udviklerværktøjer, der kræver Java i browseren, er der masser af andre dominerende forretningsværktøjer, der gør det. Lige forleden havde jeg problemer med at få WebEx til at arbejde på Chrome (Java deaktiveret) og måtte huske at skifte til Internet Explorer (Java aktiveret).
Angribere bliver luske, kompromitterer legitime websteder og angriber besøgende på disse websteder. Hold din software og dit operativsystem opdateret, og kør opdateret sikkerhedssoftware. Reducer din angreboverflade, hvor du kan, men vigtigst af alt, være opmærksom på, hvad der sker på dit netværk.
