'Facebook en Apple geen doelwit gerichte aanval'
De aanvallers die de computers van zowel Apple- als Facebook-werknemers wisten te infecteren hadden het niet specifiek op de IT-giganten voorzien. Dat zegt beveiligingsonderzoeker Eric Romang, die de sporen van de aanval onderzocht. De aanval vond plaats via een gehackt forum voor iPhone-ontwikkelaars waar een exploit voor een Java-lek werd geplaatst.
Het Java-lek in kwestie werd op 1 februari door Oracle via een noodpatch verholpen. Afgelopen weekend liet Facebook weten dat een aantal werknemers gehackt waren, gisteren was het Apple. Rond het verschijnen van de noodpatch stelde Twitter dat de gegevens van 250.000 gebruikers mogelijk waren gecompromitteerd. In het bericht adviseerde het gebruikers om Java uit te schakelen.
Een ander interessant gegeven was dat Apple de Java browserplug-in op 31 januari via een update voor de ingebouwde malware-tool Xprotect blokkeerde. Het was de tweede keer in een maand tijd dat het bedrijf dit deed. Volgens Romang is het zeker een reactie op de infectie die 19 dagen later werd opgebiecht.
Domein
Via urlQuery ontdekte de onderzoeker dat er op 23 januari Java code werd gebruikt bij het bezoeken van de website. Via JSUNPACK achterhaalde Romang dat het domein min.liveanalytics.org aan www.iphonedevsdk.com is gekoppeld. De laatst genoemde is het forum voor iPhone-ontwikkelaars waar de aanvallers de kwaadaardige JavaScript plaatsten.
Het domein liveanalytics.org werd op 8 december geregistreerd. De eerste relatie met iphonedevsdk.com zou van 22 januari van dit jaar dateren, maar de WayBack Machine laat een ander verhaal zien. Google Chrome waarschuwde gebruikers van het ontwikkelaarsforum al op 15 januari dat de website malware bevatte die van het domein liveanalytics.org afkomstig was. Het domein ging uiteindelijk op 24 januari offline.
Java updates
Romang kijkt niet alleen naar de gebruikte domeinen, maar ook de patches van Oracle. Op 11 december 2012 verscheen een update voor Java 7 (Update 10) die gebruikers het beveiligingsniveau voor Java-applets liet instellen. Oracle publiceerde op 13 januari (Update 11) en 1 februari noodpatches voor Java.
Java Update 11 verhoogde het beveiligingsniveau van Java-applets van medium naar hoog, waardoor gebruikers een waarschuwing te zien krijgen als een website een Java-applet laadt. Aan de hand hiervan veronderstelt Romang dat de slachtoffers van de aanval op iphonedevsdk.com niet over de laatste Java-versie beschikten.
Ook zouden ze het beveiligingsniveau voor applets niet hebben verhoogd, ondanks de geschiedenis van zero-day-lekken in Java. De slachtoffers ontdekten waarschijnlijk dat ze werden aangevallen na Java 7 Update 13, waar het beveiligingsniveau automatisch werd aangepast en ze opeens een waarschuwing bij iphonesdk.com kregen.
Doelwit
Hoewel Facebook en Apple getroffen zijn, en mogelijk ook Twitter, denkt Romang niet dat het om een zeer gerichte aanval gaat. "Oracle Java heeft een geschiedenis van zero-days en serieuze bedrijven zoals Twitter, Facebook en Apple hadden Java Web Start Applicaties voor onbetrouwbare applets al eerder moeten uitschakelen."
De vraag is namelijk waarom een Apple developer Java heeft openstaan of sowieso nog gebruikt.
Apple heeft immers afstand gedaan van Java en Java applicaties draaien niet op de iPhone of iPad en worden ook niet toegelaten in de App-store.
Waarom dan nog wel Java geïnstalleerd en geactiveerd als developer?
Wat uitzoekwerk (wel een Mac maar geen Java gebruiker) levert het volgende op (eventuele correcties welkom) en heeft een wat andere invalshoek dan de analyse in het artikel.
Application Development Framework :
Oracle levert een Java gebaseerde developer kit die het mogelijk maakt applicaties te ontwikkelen voor verschillende platformen als iOs en Android of devices als de iPhone en ipad.. met ontwikkelingsmogelijkheden in Java, XML, SQL and PL/SQL, HTML, JavaScript, BPEL and PHP (wiki).
Namelijk ; Oracle JDeveloper and Application Development Framework (ADF) of / en daarbij aangevuld met Oracle ADF Mobile, ADF .. ...
Addertjes rondom ADF, JVM en verantwoordelijkheden :
Apple is gestopt met het ontwikkelen van een eigen Java implementatie, de laatste versie is JVM 6.
Oracle heeft de ontwikkeling overgenomen met het uitbrengen van JVM versie 7.
De ADF kit voor developers heeft echter een eigenaardigheidje;
Windows en Linux gebruikers kunnen daarvoor Java versie 7 gebruiken, voor Mac gebruikers geldt dat dit alleen werkt met Java versie 6 of ouder (waarom is dat?). Mac gebruikers moeten voor installatie tevens extra handmatige aanpassingen doen op Root niveau om de ADF kit werkend te krijgen.
Deze situatie levert dan ook een opmerkelijke spagaat op ;
Oracle ontwikkelt het JVM verder uit met bijbehorende security updates maar sluit Apple daarvan buiten in de ADF door het voor Mac gebruikers alleen te laten draaien op JVM versie 6 (of ouder) .
De nazorg voor JVM 6 (inclusief security updates) valt nog onder Apple' s eigen verantwoordelijkheid.
Security fixes van twee partijen :
Oracle heeft in de afgelopen maanden diverse patches uitgebracht voor versie 6 (en 7 ook voor Mac) tot en met subversie 41.
Apples eigen laatste security update voor de Mac-JVM 6 versie was van oktober 2012 en bleef steken op sub versie Java SE 6 - 1.6.0-37 waarmee het de afgelopen maanden achter (?) liep in vergelijking met die van Oracle voor de overige Os'en.
Wel werd door Apple in de oktober patch de Java applet plugin van JVM 6 voor alle webbrowsers uitgeschakeld en werd voor een werkende plugin (versie 7) verwezen naar Oracle.
Kwetsbare plugins ge-reactiveerd uit noodzaak :
Aanname ; in de veronderstelling verkerend dat de Java applet plugin versie 7 niet draait onder JVM 6, neem ik aan dat Apples eigen developers voor gebruik van de ADF kit noodgedwongen de kwetsbare Java applet plugin (versie 6) weer handmatig hebben moeten activeren.
Besmetting van Mac's bij Apple medewerkers lijkt daarmee diverse uitzonderlijke oorzaken te hebben :
- Medewerkers die met een actieve (niet volledige geüpdate ) Java (applet )plugin gebruik maakten van internet
(waren er niet genoeg Mac's beschikbaar op kantoor?).
- Onduidelijkheid tussen Oracle en Apple tussen vervolg ontwikkeling van Java; waarom speelt Oracle de security bal terug naar Apple door de ADF kit voor Mac's niet te laten draaien op de laatste JVM versie 7 maar alleen onder versie 6 of ouder?
- Verlate security fixes van Apple van 1.6.0-37 naar Java 1.6.0-41 , met de aantekening dat het zelf activeren van een uitschakelde applet webplugin bij de eindgebruiker ligt (in dit geval saillant genoeg bij Apple medewerkers zelf).
Op basis van een dergelijke combinatie van uitzonderingen lijkt een bewuste aanval op Apple via deze weg niet erg aannemelijk.
Aan de andere kant zal een developer voor Apple producten dit bij voorkeur doen op een Mac en daarmee waarschijnlijk ook kennis hebben van de ADF problematiek om dit voor andere doeleinden in te zetten.
Daar ik geen developer en ook geen iOs of Java gebruiker ben (met wel de nodige kennis hoe Java te verwijderen uit vrijwel alle versies van Os X), zijn correcties en aanvullingen zeer welkom (mocht ik naast zitten met bovenstaande analyse).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
