Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX(附件:修補程式操作說明)

趨勢科技最近發現，在特定網站上的惡意JAR檔案會攻擊尚未被修補的JRE 1.7/Java 7零時差弱點（CVE-2012-4681）。一旦漏洞攻擊成功就會下載一個後門程式，讓遠端的惡意攻擊者可以任意在受感染系統上執行所需的指令。

這個零時差漏洞攻擊碼可以在所有版本的Internet Explorer、Firefox和Opera上執行。而透過Metasploit的測試，這漏洞同樣也可以在Google Chrome和Safari上執行。

漏洞攻擊和惡意行為的技術分析

受影響的弱點和新的Java 7 classcom.sun.beans.finder.ClassFinder有關，它會允許sun.awt.SunToolkit class加載、修改和執行惡意程式碼。這威脅包含下列幾種元件，HTML網頁和惡意JavaScript（index.html，被偵測為JS_FIEROPS.A）、Java Applet（applet.java，被偵測為JAVA_GONDY.A）和惡意程式（FLASH_UPDATE.exe，被偵測為BKDR_POISON.BLW）。

使用者可能會因為訪問某些網站而遇上這種威脅，其中一個是https://www.{BLOCKED}s.com/public/meeting/index.html，會讓人下載並加載惡意Java Applet（JAVA_GONDY. A）。接著會傳遞參數以用來下載BKDR_POISON.BLW。

使用者可能會因為訪問某些網站而下載並加載惡意Java Applet（JAVA_GONDY. A

根據趨勢科技對index.html程式碼的分析，裡面的腳本已經被用Dadong’s JSXX 0.44 VIP做出大程度的混淆加密。

解譯這個腳本後讓我們可以拿到傳遞給惡意Java Applet的參數。下面截圖顯示出傳遞給CVE2012xxxx.Gondvv.class的參數，好用來下載惡意程式FLASH_UPDATE.exe。

傳遞給CVE2012xxxx.Gondvv.class的參數，用來下載惡意程式FLASH_UPDATE.exe

趨勢科技研究這Java Applet時，我們注意到下面類別：

cve2012xxxx/Gondzz.class – 包含主要程式碼以及用classcom.sun.beans.finder.ClassFinder class來攻擊JAVA 7漏洞的程式碼。
cve2012xxxx/Gondvv.class – 包含用來下載並執行惡意程式碼的方法（Method）。

當惡意Java Applet被執行時，它會呼叫disableSecurity() 方法，建立了一個聲明（Statement）去禁用安全管理器（Security Manager），這樣就可以讓惡意程式碼被允許執行。並且會檢查運行中的系統是否為Windows，去決定HTML傳遞的參數所指向的惡意程式網址。

接著會下載BKDR_POISON.BLW到暫存目錄內，檔案名稱為UPDATE.EXE。惡意Java Applet接著會在執行後刪除檔案。

根據趨勢科技的分析發現，後門程式BKDR_POISON.BLW會下載並執行其他惡意程式到系統內，讓這個系統可能會被進一步的感染。它還可以在受感染系統上擷取螢幕、網路攝影機影像和錄音。根據報導，這個零時差漏洞還可以在Mac OSX上被執行，所以Mac使用者也要小心這個威脅。

JRE 1.7零時差漏洞和目標攻擊

雖然有些報導說這個零時差漏洞可能被用在目標攻擊，不過我們的分析結果卻顯示可能並非如此。用來放置這漏洞攻擊碼的網站也被用來派送其他各種惡意軟體。BKDR_POISON.BLW所連的伺服器也被用來當做其他惡意軟體的C＆C伺服器。而目標攻擊成功的要素之一就是要保持低調。但是這次攻擊所用到的網域和IP地址都顯示它沒有打算隱藏自己。

趨勢科技所提供的保護

趨勢科技利用主動式雲端截毒服務 Smart Protection Network來保護使用者免受此種威脅，它可以偵測並刪除漏洞攻擊碼及惡意軟體組件。也會阻止使用者連上有問題的網站，威脅的感染起點。Deep Security的用戶也可以利用規則1005170 – Java Applet Remote Code Execution Vulnerability來防護這次的漏洞攻擊。

電子郵件藉檔案分享網址會導致這漏洞攻擊

我們被回報通知有電子郵件會導致這漏洞攻擊。這個電子郵件號稱包含一個檔案分享工具的網址，但其實卻是連上漏洞攻擊碼。趨勢科技已偵測並封鎖相關的電子郵件和漏洞攻擊碼連結。此外，趨勢科技 Deep Security可以偵測到BKDR_POISON.BLW所產生的網路活動。

＠原文出處：Java Runtime Environment 1.7 Zero-Day Exploit Delivers Backdoor作者：Manuel Gatbunton（趨勢科技威脅反應工程師）

＠更新:

重大資安風險通報
針對Java零時差漏洞的建議處理行動

由於Java使用者非常廣泛，因此前日所發布的Java零時差漏洞(CVE-2012-4681)，受影響的電腦數量非常多，而趨勢科技也觀察到已經有惡意程式利用此漏洞發動攻擊，也都可以被趨勢科技防毒產品偵測：

malicious JavaScript	JS_FIEROPS.A	(Pattern:9.352.01)
malicious Java applet	JAVA_GONDY.A	(Pattern:9.352.01)
malicious binary	BKDR_POISON.BLW	(Pattern:9.352.06)

此外Deep Security或IDF的用戶也可以利用規則1005170 – Java Applet Remote Code Execution Vulnerability來防護這次的漏洞攻擊。

Oracle針對這個漏洞已經發佈修補程式,詳細資訊請參考下列網址： https://blogs.oracle.com/security/entry/security_alert_for_cve_20121

若您是Windows平台使用者可以參考下列步驟更新修補程式：

1. 開啟”Java控制面板”視窗：
在命令題示字元中輸入以下指令並按Enter(須以系統管理員身分執行)。
C:\Program Files\java\jre7\bin\javacpl.exe (32位元作業系統)
C:\Program Files <x86>\java\jre7\bin\javacpl.exe (64位元作業系統)

2. 出現Java 控制面板視窗之後，點選”更新”頁籤，並點選”立即更新”。

3. 跳出以下頁面後點選”安裝”即可順利更新。

4. 更新完畢之後可到下列網址檢查是否已經更新成功。 https://java.com/en/download/installed.jsp

趨勢科技利用主動式雲端截毒服務 Smart Protection Network來保護使用者免受此種威脅，它可以偵測並刪除漏洞攻擊碼及惡意軟體組件，也會阻止使用者連上有問題的網站，威脅的感染起點。

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁上按讚：https://www.facebook.com/trendmicrotaiwan