La semaine dernière, un Google chercheur en sécurité a détaillé une fonctionnalité peu connue intégrée à Java qui peuvent être utilisés pour lancer des applications tierces. Aujourd’hui, des experts en sécurité ont mis au jour la preuve qu’un site Web de paroles de chansons populaire a été compromis et ensemencé avec du code qui exploite cette fonctionnalité Java pour installer des logiciels malveillants.
Le 9 avril, un chercheur de Google Tavis Ormandy posté à la liste de diffusion FullDisclosure qui il avait découvert il pourrait abuser d’une fonctionnalité de Java pour lancer des applications arbitraires sur un PC Windows à l’aide d’un site Web spécialement conçu. Ormandy a déclaré que la fonctionnalité avait été incluse dans toutes les versions de Java depuis Java 6 Update 10, et était destiné à faciliter la distribution de leurs applications par les développeurs. Parallèlement à cette divulgation, Ormandy a publié plusieurs exemples de la façon dont les attaquants pourraient utiliser cette fonctionnalité en Java pour charger des applications malveillantes sur le système d’un utilisateur.
Depuis ce matin, songlyrics.com, un site qui selon le cabinet d’analyse de trafic concurrence.com reçoit environ 1,7 million de visites chaque mois, chargeait le code de assetmancomcareers.com, un site Web russe avec une histoire de promotion d’anti-virus malveillants. Les serveurs de noms de domaine pour assetmancomcareers.com servent également :
spyeraser-security.com
spyeraser-trial.com
spyeraser-software.com
Selon Roger Thompsondirecteur de recherche chez MOYle site apparaît d’utiliser le même code mentionné dans la preuve de concept d’Ormandy pour rediriger en silence visiteurs de songlyrics.com sur un site qui charge le kit d’exploit « Crimepack », un kit relativement nouveau conçu pour lancer un tas d’exploits logiciels sur les navigateurs visiteurs (voir capture d’écran d’une page d’administration Crimepack ci-dessous).
Il n’est pas clair si Oracle envisage de modifier le comportement de cette fonctionnalité dans Java. Pour l’instant, si Java est installé sur votre système (vous ne savez pas ? cliquez sur ici), vous pouvez envisager de mettre en œuvre l’une des solutions de contournement mentionnées ou les deux ici dans un Centre de tempête Internet SANS écrire à ce sujet.
Mise à jour, 13 h 17 HE : Les gens de chez malwaredomainlist.com disons que bien que l’outil d’analyse Wepawet mentionné ci-dessus détecte ce kit d’exploit comme Crimepack, le pack en question peut être celui qui s’appelle Pack Sploit SEO. Bien que cette distinction puisse être perdue pour le malheureux utilisateur de Windows qui tombe sur un tel site, je voulais néanmoins inclure cette information. Malheureusement, tout ce que j’ai, c’est le logo en stock du SEO Sploit Pack (quelqu’un veut-il partager une capture d’écran de la page d’administration ?).
