Oracle ha corregido una vulnerabilidad crítica de clic para ejecutar (click-to-play) que los atacantes de la operación conocida como Pawn Storm utilizaron en el hackeo hacia la OTAN, dice el analista de amenazas Jack Tang de Trend Micro.

El parche se incluye en una racha de 154 correcciones de Big Red, entre ellas 25 para Java Runtime.

El sofiticado grupo de atacantes utilizaba la entonces falla día cero (CVE-2015-2590) para atacar a los activos web de la OTAN, la Casa Blanca y otras corporaciones prominentes.

Este mismo grupo está detrás de la campaña de ataque XAgent iOS, que tenía como objetivo miembros de los sectores de defensa y gubernamentales. Sólo la semana pasada, se encontró que el grupo explotaba un agujero ya parcheado por Adobe Flash.

"El método utilizado para saltarse esta protección era bastante ingenioso", dice Tang. "Si Java todavía está en uso generalizado, los efectos de la protección para evitar un clic para ejecutar serían de largo alcance."

Tang dice que esto muestra cómo el crítico clic para ejecutar es para sistemas complejos como Java.

Los atacantes necesitan correr tres tareas antes de llegar a sus objetivos: Añadir cierto código HTML a un sitio web malicioso; crear un servidor de registro RMI que tiene una dirección IP pública y crear otro servidor web para mantener el código de Java malicioso que también tiene una dirección IP pública.