Análise e dados de Brooks Li (Analista de Ameaças) e Feike Hacquebord (Pesquisador Sênior de Ameaças)

Explorações de dia-zero continuaram a ser usadas em ataques direcionados porque são eficazes, uma vez que os fornecedores ainda não criaram patches para elas. Ao longo de nossa investigação e monitoramento de uma campanha de ataque direcionado, Operação Pawn Storm, descobrimos URLs suspeitas que hospedavam um exploit de dia-zero recém descoberto no Java. Essa é a primeira vez em quase dois anos que uma nova vulnerabilidade de dia-zero no Java foi relatada.

Note que essa exploração de dia-zero NÃO faz parte da recente série de vulnerabilidades relacionadas ao vazamento do Hacking Team. O grupo por trás da Operação Pawn Storm está usando o exploit de dia-zero do Java como parte de sua campanha.

Essas URLs, hospedando o novo exploit de dia-zero do Java, são similares às URLs vistas nos ataque lançado pelos atores de ameaças por trás do Pawn Storm que visaram os membros da OTAN (Organização do Tratado do Atlântico Norte) e da Casa Branca em abril de 2015. Porém, na época, essas URLs ainda não hospedava esse exploit. O Pawn Storm também visava outras organizações de nações estado utilizando eventos políticos e reuniões como o Fórum da Cooperação Econômica Ásia-Pacífico (APEC, sigla em inglês para Asia-Pacific Economic Cooperation) e o Middle East Homeland Security Summit 2014 como parte de suas táticas de engenharia social. Os setores de mídia e de defesa foram outras entidades visadas por essa campanha de APT, além dos setores militares e governamentais.

Conseguimos detectar esse exploit de dia-zero através do feedback da Trend Micro™ Smart Protection Network™. Mensagens de email visanda certas forças armadas de um país da OTAN e de uma organização de defesa dos EUA continham essas URLs maliciosas onde o exploit do Java estava hospedado. Atualmente,essa vulnerabilidade ainda não foi corrigida pela Oracle. Baseado em nossa investigação, a versão mais recente do Java 1.8.0.45 foi afetada. Versões mais antigas, Java 1.6 e 1.7, não foram afetadas por esse exploit de dia-zero. Nós já notificamos a Oracle e estamos colaborando com sua equipe de segurança em relação a essa ameaça. Atualizaremos essa postagem do blog a medida que novas informações sobre essa ameaça forem encontradas. Note que essa postagem serve como um alerta para um possível ataque de dia-zero.

Depois de explorado com sucesso, ele executa um código arbitrário nas configurações padrão do Java, comprometendo a segurança do sistema. A Trend Micro detectou o código do exploit como JAVA_DLOADR.EFD. O arquivo que a Trend Micro detecta como TROJ_DROPPR.CXC baixa a carga, TSPY_FAKEMS.C, na pasta de login do usuário.

A Trend Micro já consegue proteger seus usuários contra essa ameaça, sem a necessidade de nenhuma atualização. A Sandbox com o mecanismo Script Analyzer existente, que faz parte do Trend Micro™ Deep Discovery, pode ser usada para detectar essa ameaça por seu comportamento. O recurso de Prevenção de Exploração do Navegador, na Segurança de Endpoint do Trend Micro™ Smart Protection Suite, detecta o exploit assim que o usuário acessa a URL que o hospeda. Nossa Prevenção de Exploração do Navegador detecta os sistemas do usuário contra exploits visando os navegadores e plugins relacionados.

A proteção de vulnerabilidades do Trend Micro Deep Security protege os sistemas dos usuários contra ameaças que podem aproveitar essa vulnerabilidade, seguindo a regra DPI:

• 1006857 – Oracle Java SE Remote Code Execution Vulnerability

Também recomendamos aos usuários desabilitar o Java nos navegadores, se instalados devido a uma aplicação. Para mais dicas sobre como minimizar os riscos do uso do Java,você pode ler nossa postagem, Como Usar o Java Caso Você Precise (em inglês).

Outras postagens relacionadas à Operação Pawn Storm podem ser encontradas aqui (em inglês):

• Pawn Storm Espionage Attacks Use Decoys, Deliver SEDNIT
• Operation Pawn Storm: Putting Outlook Web Access Users at Risk
• Pawn Storm Update: iOS Espionage App Found
• Operation Pawn Storm Ramps Up its Activities; Targets NATO, White House
• Pawn Storm: First Java Zero-Day Attack in Two Years Targets NATO & US Defense Organizations

Com análise adicional de Peter Pi, Jack Tang e Weimin Wu.

Atualizações até 12.07.15, 18:39 PDT (UTC-7)

Nós atualizamos para esclarecer um detalhe técnico sobre os alvos e para adicionar a solução Trend Micro Deep Security.

Abaixo estão as hashes SHA1 relacionadas a essa ameaça:

• b4a515ef9de037f18d96b9b0e48271180f5725b7
• 21835aafe6d46840bb697e8b0d4aac06dec44f5b

Atualizações até 14.07.15, 19:40:00 PDT (UTC-7)

Essa vulnerabilidade foi corrigida pela Oracle, como parte de sua Atualização de Patch Crítico de julho de 2015. Recomendamos que os usuários afetados atualizem logo seu software Java. Também foi designado um identificador CVE, CVE-2015-2590.

Publicado originalmente em TrendLabs.