Video: Facebook Page Takeover - Zero Day Vulnerability (September 2024)
Javas rykte tog en slag igen, efter att Facebook avslöjade att angripare hade infiltrerat sina interna system efter att ha utnyttjat en nolldagars sårbarhet.
Som PCMag.com rapporterade sent i går eftermiddag, sa Facebook att dess system hade "riktats in i en sofistikerad attack" i januari. Vissa Facebook-anställda, förmodligen utvecklare, smittades efter att ha besökt en tredjeparts mobilutvecklingswebbplats, säger företaget i en Facebook-säkerhetspost på webbplatsen. Attacker hade tidigare kompromitterat utvecklarens webbplats och injicerat skadlig kod som utnyttjade ett säkerhetshål i Java-plugin. Nolldagars utnyttjandet förbigick Java sandlådan för att installera skadlig programvara på offerdatorer, sa Facebook.
Facebook rapporterade utnyttjandet till Oracle, och det lappades den 1 februari. Oracle sa vid den tiden att fixen hade planerats till 19 februari, men hade påskyndat frisläppandet eftersom det utnyttjades i naturen. Det är inte klart på den här punkten vilka av de 39 (av 50) Java Runtime Environment-bugg som fixades i den korrigeringen var den som användes i denna exploit.
Facebook försäkrade användare att ingen av användardata hade äventyrats i attacken, men angav inte om någon av dess interna data hade påverkats.
Twitter det andra offeret?
Facebook meddelade flera andra företag som hade drabbats av samma attack och överlämnade utredningen till federala lagstiftning. Medan företaget inte identifierade andra offer, sammanfaller tidpunkten för attacken med Twitter: s överträdelse. Användaruppgifter hade blivit exponerade i den attacken. Nu när vi känner till några detaljer i attacken på Facebook är det vettigt att Twitter kryptisk varning om att inaktivera Java-webbläsarplugins.
Som SecurityWatch tidigare rapporterade, har Twitters chef för informationssäkerhet Bob Lord sagt: "Vi ekar också rådgivningen från US Department of Homeland Security och säkerhetsexperter för att uppmuntra användare att inaktivera Java på sina datorer i deras webbläsare."
Hög på AV Inte punkten
Facebook noterade att de komprometterade bärbara datorerna "var fullständigt uppdaterade och körde uppdaterad antivirusprogram." Vissa säkerhetsexperter gav upphov till att upprepa sina argument att antivirus var en "misslyckad teknolog." Några sa att Facebook borde avslöja antivirusförsäljarens namn så att andra kunder skulle veta om de är i riskzonen.
Historien att fokusera på här är inte om antivirusprogram borde ha upptäckt Java-exploateringen, utan snarare att Facebook framgångsrikt använde sitt lagerförsvar för att upptäcka och stoppa attacken. Företagets säkerhetsteam övervakar kontinuerligt infrastrukturen för attacker och flaggade den misstänkta domänen i företagets DNS-loggar, säger Facebook. Teamet spårade det tillbaka till en anställd bärbar dator, hittade en skadlig fil efter att ha genomfört en kriminalteknisk undersökning och flaggade flera andra komprometterade bärbara datorer med samma fil.
"Hattar till Facebook för deras snabba reaktion på denna attack, de nappade den i knoppen, " sa Andrew Storms, chef för säkerhetsoperationer på nCircle, till SecurityWatch .
Tillsammans med skiktad säkerhet genomför Facebook också regelbundet simuleringar och övningar för att testa försvar och arbeta med händelsespersoner. Ars Technica gjorde nyligen en fascinerande redogörelse för en sådan övning på Facebook där säkerhetsteamen trodde att de hade att göra med en nolldagars exploatering och bakdörrkod. Dessa typer av simuleringar används i flera organisationer, både inom den offentliga och privata sektorn.
Inte så lätt att bli av med Java
Som SecurityWatch noterade tidigare denna månad är det lätt att råda användare att inaktivera Java i sina webbläsare, men många affärsverktyg förlitar sig fortfarande på webbläsarens Java-plugin. Jag känner inte till några utvecklarverktyg som kräver Java i webbläsaren, men det finns många andra dominerande affärsverktyg som gör det. Bara förleden hade jag problem med att få WebEx att fungera på Chrome (Java inaktiverat) och var tvungen att komma ihåg att byta till Internet Explorer (Java aktiverat).
Attacker blir smyga, komprometterar legitima webbplatser och attackerar besökare på dessa webbplatser. Håll programvaran och operativsystemet korrigerat och kör uppdaterad säkerhetsprogramvara. Minska attackytan där du kan, men viktigast av allt, vara medveten om vad som händer i ditt nätverk.
