crackerAutor: Lucian Constantin (IDG News Service)

Os cibercriminosos foram rápidos para integrar um exploit recém-lançado para uma vulnerabilidade Java já corrigida em junho a uma ferramenta usada para lançar ataques em massa contra os usuários, informou um pesquisador independente de malware.

O código malicioso tem como alvo uma vulnerabilidade crítica identificada como CVE-2013-2465, que afeta todas as versões do Java anteriores ao Java 7 Update 25 e permite a execução remota de código. A falha foi corrigida pela Oracle durante a June Critical Patch Update for Java. O exploit foi divulgado pela equipe de pesquisa em segurança da Packet Storm Security, que originalmente o adquiriu por meio do seu programa de recompensas de bugs como um exploit 0-day – um exploit para uma vulnerabilidade não corrigida.

A Packet Storm publicou os exploits que adquiriu 60 dias após recebê-los, com a permissão de seus autores, para que outros profissionais de segurança pudessem usá-los para realizar testes de penetração e avaliações de risco de segurança. Dois dias depois do seu lançamento, o exploit CVE-2013-2465 já foi integrado nos chamados kits de exploração – ferramentas de ataque que infectam computadores com malware, explorando as vulnerabilidades em um software desatualizado quando os usuários visitam páginas comprometidas.

Um pesquisador independente de malware que usa o pseudônimo Kafeine identificou uma instalação ao vivo do kit de exploração Styx, anteriormente conhecido como Kein, que está usando o tal novo exploit. Do ponto de vista de um atacante, o exploit para a CVE-2013-2465 é melhor do que o exploit para a CVE-2013-2460 – outra vulnerabilidade Java também corrigida em junho, que foi recentemente integrada a um kit de ferramentas de ataque diferente chamado Private Exploit Pack, disse Kafeine em um post no seu blog. A Oracle encerrou o suporte público para o Java 6 em abril e não vai mais lançar atualizações de segurança para ele. Apesar disso, o Java 6 ainda é amplamente utilizado, especialmente em ambientes corporativos.

Um estudo recente da empresa de segurança Bit9 mostrou que mais de 80% dos computadores corporativos possuem o Java 6 instalado. A versão Java mais amplamente implantada nesses sistemas foi a Java 6 Update 20. A última versão disponível publicamente do Java 6 é o Java 6 Update 45, que também é afetada pelo CVE-2013-2465. A vulnerabilidade foi corrigida no Java 6 Update 51, mas esta versão está disponível somente para os usuários que estenderam os contratos de suporte com a Oracle.

O fato de que um exploit para CVE-2013-2465 estar disponível ao público e já ter sido integrado a toolkits de ataque em massa sugere que essa brecha em breve presenciará uma exploração generalizada. Os usuários que ainda precisam atualizar para o Java 7 Atualização 25 podem querer fazê-lo o mais breve possível. Isso porque a CVE-2013-2465 afeta tanto o Java 6 quanto o 7, enquanto que a CVE-2013-2460 só afeta o Java 7, disse ele.

Leia Também:

Crackers usam serviços de hospedagem na nuvem para disseminar malware

Pendrives e cartões SD são responsáveis por 30% das infecções em PCs

Sites falsos alteram boletos vencidos e roubam dinheiro de vítimas

Pesquisadores demonstram possível ataque IPv6 contra PCs com Windows 8

Fonte: IDG NoW!