Recientemente, se dio a conocer la existencia de un exploit que aprovecha una vulnerabilidad en Java que aún no ha sido solucionada. Alienvault Labs reprodujo y verificó que el exploit funciona sobre la versión de Java 7. Según el Cert, este exploit afecta a Java 7 update 10 y versiones anteriores y está siendo utilizada en exploits kits.
En primera instancia, según un análisis rápido por Alienvault Labs, el archivo de Java que contiene el exploit se encuentra altamente ofuscado. Aparentemente, el funcionamiento del propio exploit se centra en la evasión ciertos chequeos de seguridad a partir de la manipulación de permisos. Esta vulnerabilidad podría ser aprovechada por un atacante para ejecutar código de forma remota.
Asimismo, este exploit estaría siendo usado por Blackhole y Nuclear pack a gran escala. Según KrebsonSecurity, la incorporación a Blackhole del exploit habría ocurrido bajo el lema de "New Year's Gift" o "Regalo de año nuevo".
Esta no es la primera vez que existe una vulnerabilidad de esta magnitud en Java. El año pasado presenciamos un exploit 0-day que afectaba a Java y propagaba malware. Asimismo se realizó un estudio de cómo funcionaba ese exploit. En esta instancia, la vulnerabilidad también recaía en la manipulación de los permisos. Luego de unos días, Oracle solucionó la grave vulnerabilidad 0-day de Java.
Tal como ocurrió en esa instancia, desde el Laboratorio de ESET Latinoamérica, recomendamos desactivar Java del navegador para aquellos usuarios que no necesiten utilizar Java, en tanto se desarrolle un parche por parte de Oracle. Para quienes no sepan cómo desactivar el plugin correspondiente a esta tecnología, pueden leer nuestro post “¿Cómo desactivar Java del navegador?”.
Finalmente, recomendamos la utilización de un software antivirus con capacidad de detección proactiva ya que permite a los usuarios estar protegidos contra este tipo de amenazas. Asimismo, los productos de ESET detectan dicho exploit como Java/Exploit.CVE-2013-0422.
Actualización: Oracle ha lanzado la versión Java 7 Update 11 que corrige esta vulnerabilidad y otra que fueron encontradas en este producto.
Fernando Catoira
Analista de Seguridad