Хакер #305. Многошаговые SQL-инъекции
Последние дни богаты на сообщения о новых 0day уязвимостях и эксплоитах. В выходные, благодаря утечке данных Hacking Team, обнаружили еще две 0day в Adobe Flash, и теперь против Flash идет настоящий крестовый поход. Теперь к череде свежих багов добавилась и уязвимость в Java, последний 0day для которой всплывал в сети почти два года тому назад. Компания Trend Micro заявила об обнаружении уязвимости нулевого дня в Java версии 1.8.0.45 (версии Java 1.6 и 1.7 багу не подвержены). В данном случае даже обошлось даже без связи с многострадальной Hacking Team.
В ходе расследования серии атак, названных Operation Pawn Storm, специалисты компании обнаружили новую таргетированную атаку. Предположительно за Operation Pawn Storm стоит группа хакеров, так же известная как APT28, Sednit, Fancy Bear или Tsar Team. Новая атака эксплуатирует до сего дня неизвестную уязвимость в Java. Используемые для атаки URL уже попадались Trend Micro на глаза в апреле 2015, когда мишенью хакеров стали Организация Североатлантического договора и Белый дом. Предположительно те же хакеры выступали против представителей оборонной индустрии, медиа и других государственных организаций и политических мероприятий. Их целями также успели побывать Форум азиатско-тихоокеанского экономического сотрудничества и Саммит по национальной безопасности на Ближнем Востоке 2014.
Trend Micro в своем блоге почти не раскрывают подробностей ни об атаке, ни о новой уязвимости, так как патча для нее пока нет. Известно лишь то, что под данную 0day уязвимость уже существует малварь. Так файл TROJ_DROPPR.CXC оставляет следы в виде TSPY_FAKEMS.C в домашнем каталоге пользователя.
Разумеется, об уязвимости уже сообщили в Oracle, а пока идет работа над заплаткой, Trend Micro рекомендует отключить Java в браузере.