Java desactualizado: actividad de alto riesgo

Desde hace meses venimos observando como buena parte del malware está aprovechando vulnerabilidades en versiones antiguas del software de Java, presente en la mayoría de sistemas. Ayer, sin ir más lejos, publicábamos una investigación realizada por uno de nuestros compañeros del laboratorio de ESET en Montreal donde los applets de Java se encargaban (de nuevo) de instalar malware en los equipos de los usuarios.

Esta tendencia que ya se ha vuelto algo común, y de la cual comenzábamos a avisar hace ya casi dos años, se ha convertido en uno de los principales vectores de ataque mediante el cual las amenazas consiguen infectar millones de sistemas.

Un estudio realizado recientemente por nuestros compañeros de Hispasec ha ratificado esta teoría. Usando varias muestras de troyanos bancarios, comprobaron que el 100% de las mismas usaba una máquina virtual de Java desactualizada para conseguir que la infección se produjese con éxito. La mayoría de veces se usan dos vulnerabilidades en concreto, la evolución de las cuales podemos ver en el gráfico mostrado a continuación:

Ambas vulnerabilidades fueron corregidas este año por Oracle y desde Hispasec nos recuerdan como han sido usadas de forma masiva para propagar nuevas versiones del virus de la policía o las últimas variantes de los códigos maliciosos Zbot o SpyEye entre otros.

Una de las consecuencias que tuvo el aprovechamiento de vulnerabilidades en el software de Java fue la infección desde cualquier tipo de página web. Aun hoy, la creencia popular confía en que si se navega únicamente por sitios “seguros” las posibilidades de infectarse son mínimas. Por desgracia, hoy en día cualquier web es susceptible de estar infectada (incluso aquellas con mejor reputación) y solo hace falta que accedamos con ella con nuestro navegador y que este cargue un applet de java malicioso para comprometer la seguridad de nuestro sistema.

Ante este panorama, la empresa Oracle, responsable actual de Java, no toma las medidas de seguridad adecuadas puesto que, si bien se desinstalan las versiones vulnerables al actualizarse, esto solo afecta a la misma rama, pudiendo encontrar en muchos sistemas la versión más reciente (JRE7) junto a otras anteriores y que presentan graves fallos de seguridad (JRE6 e incluso más antiguas).

La situación es alarmante, sin duda, y no son pocas las voces que directamente aconsejan desinstalar Java. Desgraciadamente, no todos los usuarios pueden prescindir de esta herramienta por lo que se hace necesario que, por una parte, Oracle se tome en serio el tema de la seguridad en Java y los usuarios pensemos seriamente en deshabilitar la opción que lo hace accesible desde el navegador para minimizar los riesgos.

Josep Albors

@JosepAlbors

El nuevo diseño de Tuenti usado como cebo para engañar a los usuarios