Facebook conferma: una lacuna di Java dietro l'attacco

Lo sfruttamento delle lacune di sicurezza presenti nel pacchetto Java continua ad essere uno degli “sport” preferiti da parte di chi sviluppa malware. Non solo, ultimamente le medesime vulnerabilità vengono sempre più spesso utilizzate per sferrare attacchi nei confronti di aziende di grandi dimensioni e di fama internazionale: le aggressioni recentemente subìte dal New York Times, dal Wall Street Journal e da Twitter (Twitter conferma l’attacco a 250.000 account) sono solo alcuni esempi.

Questa volta è toccato a Facebook che ha confermato di aver individuato un ingegnoso tentativo di attacco. Anche questa volta, non sono le applicazioni web di Facebook ad essere prese di mira quanto, piuttosto, le singole postazioni di lavoro dei dipendenti dell’azienda. Alcuni malintenzionati sarebbero riusciti ad indurre alcuni membri del personale di Facebook a visitare una pagina web malevola. Tale pagina Internet, che i dipendenti riferiscono essere di proprietà di uno sviluppatore esterno alla società, conteva codice dannoso capace di sfruttare una vulnerabilità presente nel pacchetto Java.

Le macchine dei singoli dipendenti diventano così, sempre più di frequente, gli strumenti per penetrare all’interno dell’infrastruttura aziendale con la possibilità – da parte degli aggressori – di sottrarre dati sensibili e credenziali d’accesso.

“Appena rilevata la presenza del malware, abbiamo provveduto a trattare adeguatamente le macchine coinvolte, ad informare le autorità e ad avviare un’attenta attività investigativa che sta preseguendo anche oggi“, è uno dei commenti provenienti da Facebook.

Dalla società fondata da Mark Zuckerberg si esclude che l’aggressione possa aver interessato i dati caricati sul social network da parte degli utenti iscritti. Al momento, però, i portavoce di Facebook preferiscono non esprimersi sulla provenienza dell’attacco. L’attività del malware sarebbe però venuta a galla durante l’analisi dei log dei DNS aziendali: la presenza di alcuni riferimenti ad un nome a dominio sospetto hanno permesso di stabilire rapidamente l’identità delle macchine infette.

Ciò che è interessante notare è che l’attacco sembra sia stato preparato appositamente per far breccia nella struttura informatica di Facebook. L’azienda conferma infatti che le macchine prese di mira utilizzavano versioni aggiornate di Java: il malware è stato quindi caricato facendo leva su una lacuna “zero day“, precedentemente sconosciuta anche ad Oracle. “La falla zero-day“, si spiega da Facebook, “consentiva di eludere il meccanismo di sandboxing di Java e di installare codice malware sul sistema dell’utente“. I tecnici del social network in blu hanno aggiunto di aver immediatamente segnalato il problema al team di Oracle che nei giorni scorsi ha reso pubblicamente disponibile una patch risolutiva.