Java zero day exploit

New Java Zero-Day Exploit Shows Multi-Platform Development - The Mac Security Blog

Java zero day vulnerability actively used in targeted attacks | ZDNet

Java zero day allegedly spotted in the wild | ZDNet

Question to get the discussion going on how this UTM can protect us against this attack.

1) How do you know if your Astaro IPS would be protecting you against this?

2) Avira AV?

3) SOPHOS AV?

4) SOPHOS End Point Security and Control.

endpoint av isn't the way to go.  for anything you ahve mentioned you have to wit for the signatures to be developed.  in the case of the ips that's on sourcefire(snort) and the rest is on sophos.  As of right now nothing has been released about it for snort.  check sophos's site for their a/v products.  Better yet..just uninstall java and don't use it.  it's an insecure technology that never should be allowed on client machines.

Hi

The reason for this post is to see from the UTM Perspective

1) How to know when the IPS Signature would detect this exploit?

2) How to know the HTTP Proxy Content Filtering is updated to block known malicious sites.

3) From SOPHOS Blog, at least they mentioned their end point will detect and their Web Protection on the End Point will block the malicious sites.

Unpatched Java exploit spreads like wildfire | Naked Security

" Sophos customers are proactively protected against the malware payload as Troj/Agent-XNE and the malicious Java applet as Mal/JavaKnE-H. Sophos endpoint customers using our web protection will block access to these sites as CXweb/BadDlod-G."


They Key problem is no knowledge if the UTM have the protection in place.

It would be good if they state something like the following.

For UTM

1) IPS Signature of ***x version, date and time would detect and intercept.

2) HTTP Proxy AV, Avira and SOPHPS, as of *** version would detect known malware.

3) HTTP Content Filtering is updated to Block knowm malicious sites etc.

4) Adviced to ensure the following is enabled on the UTM etc.

From my understanding, the Sophos updates are a 'live update' meaning that Sophos has 24/7 updating going on with the signatures for their AV products, which include the Astaro features and Endpoint Protection clients.  So, as soon as they identify it and can apply a signature for it, it will be distributed and you may actually see the version, date, etc. posted.  

For now, I will just tell Astaro to block all Java.  [:)]

From my understanding, the Sophos updates are a 'live update' meaning that Sophos has 24/7 updating going on with the signatures for their AV products, which include the Astaro features and Endpoint Protection clients.  So, as soon as they identify it and can apply a signature for it, it will be distributed and you may actually see the version, date, etc. posted.  

For now, I will just tell Astaro to block all Java.  [:)]

ok,
how can I block all java?

ralf

The HTTP/S Proxy has an option to remove Java Content in the configuration section.

The HTTP/S Proxy has an option to remove Java Content in the configuration section.

That's a rather large hammer..i think that blocks EVERYTHING and not just java.
Remove embedded objects (ActiveX/Java/Flash)

at least in v8.  unfortunately that's the only way to kill java in v8.  I've not tested v9 yet.

I seriously do not like the idea that it is so hard for me to know for sure that the UTM is capable of blocking this.

Look at Symantec and Trend Micro, they would describe below the Threat how their various products would defend this, any recommended settings, what to look out for for signs of successful attacks etc.

INCOMING ATTACK !

Malware Intelligence Lab from FireEye - Research & Analysis of Zero-Day & Advanced Targeted Threats:Java Zero-Day - First Outbreak

Hey Guys - I am adding thet list of domains to be blocked at the Packet Filter to block ANY TO and ANY FROM the Malicious Domain = DROP.

Any other settings ?

No Idea if SOPHOS Content Filtering added it.


Zero-day Java flaw exploited in targeted tax email malware attack | Naked Security

Java Runtime Environment 1.7 Zero-Day Exploit Delivers Backdoor | Malware Blog | Trend Micro

OSX/Tsunami Variant Found Dropped by Java 0-Day - The Mac Security Blog

The exploit is being blocked by both Avira and Sophos (for those on v9) AV engines as long as your patterns are up to date.

I seriously do not like the idea that it is so hard for me to know for sure that the UTM is capable of blocking this.

Look at Symantec and Trend Micro, they would describe below the Threat how their various products would defend this, any recommended settings, what to look out for for signs of successful attacks etc.

INCOMING ATTACK !

Malware Intelligence Lab from FireEye - Research & Analysis of Zero-Day & Advanced Targeted Threats:Java Zero-Day - First Outbreak

Hey Guys - I am adding thet list of domains to be blocked at the Packet Filter to block ANY TO and ANY FROM the Malicious Domain = DROP.

Any other settings ?

No Idea if SOPHOS Content Filtering added it.

Zero-day Java flaw exploited in targeted tax email malware attack | Naked Security

Java Runtime Environment 1.7 Zero-Day Exploit Delivers Backdoor | Malware Blog | Trend Micro

OSX/Tsunami Variant Found Dropped by Java 0-Day - The Mac Security Blog

Symantec and trend have to hype as they have some of the worst detection and removal around.  I was fully confident in my astaros ability to block this within 24 hours of discovery.

The exploit is being blocked by both Avira and Sophos (for those on v9) AV engines as long as your patterns are up to date.

How about v8...[:)]