Hace unos días se detectó una vulnerabilidad 0-Day en Java que estaba siendo aprovechada para realizar ataques dirigidos. Con el correr de las horas el exploit que permite explotarla se hizo público y ahora es utilizado por ciberdelincuentes de todo el mundo para infectar a los usuarios.
La solución: actualizar a la última versión disponible que al día de hoy es Java 7 Update 7 o directamente desinstalar Java si no es algo que se utilice con frecuencia. Para verificar qué versión tienes instalada pincha aquí.
¿Por qué hay tantos problemas con Java?
En 2010 comentaba que la plataforma de Java era el blanco número uno de los atacantes y hoy en día sigue siendo igual ¿Por qué? Esta pregunta la responde muy bien Marcelo Rivero en este comentario de ForoSpyware que cito a continuación:
– Es un sistema ampliamente utilizado con prácticamente más del 85% de los usuarios.
– Tiene muchas vulnerabilidades que como nunca se le habían buscado a fondo, todos los meses encuentran nuevas sin parchar.
– Estas vulnerabilidades son vendidas más baratas en el mercado negro que lo que sería un 0-day para Windows.
– Los parches y actualizaciones tienden a demorar en salir y cuando salen es difícil que el usuario se entere.
– Permite infectar los equipos con lo que se conoce como Drive-by-Download que es lo mismo que con solo visitar un sitio web y si necesidad de ejecutar nada, el equipo puede resultar infectado.
– Y algo muy importante es que, la gran mayoría de los usuario no sabe para qué sirve JAVA o si quiera si lo tiene instalado o no en su equipo, mucho menos si esta actualizado.
Demo en video del último 0-day detectado (afecta a Java 7 Update 6 y otras versiones anteriores):
En la siguiente demostración muestro la carga del exploit siguiendo las instrucciones de Metasploit y lo que sucede cuando la víctima visita una página que contiene un Applet de Java malicioso. En resumen, se infecta sin saberlo por tener una versión de Java vulnerable.
Algo similar a lo del video es lo que hacen los ciberdelincuentes de forma automatizada con ataques de BlackhatSEO y constructores de páginas falsas con Java. Cabe mencionar que por medio de Java no sólo los usuarios de Windows pueden ser infectados, también los de Linux y Mac.
¿El antivirus es de ayuda? Los antivirus siempre son una ayuda pero no son la solución definitiva. Si bien tienen la capacidad de bloquear ataques que se realizan mediante Java, no son efectivos en el 100% de los casos.
En otras palabras, son como el cinturón de seguridad del automóvil, al utilizarlo vas a estar mucho más seguro pero no te salvará de todos los accidentes que puedas llegar a tener.
Las aplicaciones de Java suelen ser utilizadas para camuflar troyanos y pasar desapercibidas ante los ojos de los antivirus, como se puede apreciar en el siguiente esquema publicado en inreverse.net:
Aquí se muestra un ejecutable llamado dropper.exe que es inofensivo para los antivirus y que descarga una aplicación de Java también inofensiva. Esta ejecuta dos .exe que no hacen nada malo, sólo descargar nuevamente la misma aplicación .jar pero esta vez, en la segunda vuelta, uno de los .exe descargará al troyano Zeus.
¿Tienes Java?
En la propia web de Java puedes verificar si lo tienes instalado y también la versión. Recuerda que siempre debes tener la última disponible.
Por último mencionar que algunas empresas como Zscaler han creado páginas para testear si tu equipo puede ser atacado mediante los exploits que aprovechan la última vulnerabilidad. Simplemente debes acceder a la web y ver el resultado.