[ad_1]

En octobre, j’ai montré pourquoi les vulnérabilités Java continuent d’être la principale source de revenus pour les fournisseurs de «kits d’exploitation», des logiciels criminels commerciaux conçus pour être intégrés à des sites piratés ou malveillants et exploiter une variété de vulnérabilités de navigateur Web. Aujourd’hui, je vais mettre en évidence quelques exemples plus récents de cela avec de tout nouveaux kits d’exploitation sur le marché, et expliquer pourquoi même les installations Java entièrement corrigées deviennent rapidement des catalyseurs majeurs d’attaques de logiciels malveillants basées sur les navigateurs.

Découvrez les captures d’écran ci-dessous, qui montrent la page d’administration de deux packs d’exploits à venir. Le premier, issu d’un kit d’exploitation inhabituellement élaboré appelé « Dragon Pack », est la propre installation de l’auteur, de sorte que le pourcentage de « charges » ou d’installations réussies de logiciels malveillants sur les PC des visiteurs doit être pris avec un grain de sel (coup de chapeau à Malwaredomainlist. com). Pourtant, il est clair que les mécréants qui achètent ce pack auront le plus de succès avec les failles Java.

Ce blog a une belle rédaction – et une page de statistiques supplémentaire – d’un site compromis qui, le mois dernier, redirigeait les visiteurs vers une page truffée d’exploits d’une installation Dragon Pack.

La deuxième image, ci-dessous, montre une page administrative qui centralise les statistiques de plusieurs sites piratés avec un kit relativement nouveau de 200 $ appelé « Bleeding Life ». Encore une fois, il est clair que les exploits Java sont les plus réussis. Ce qui est intéressant avec ce kit, c’est que ses auteurs afficher que l’un des « exploits » inclus n’est pas vraiment un exploit : c’est une attaque d’ingénierie sociale. Plus précisément, la page piratée abusera simplement de la fonctionnalité Java intégrée pour demander au visiteur d’exécuter une applet Java malveillante.

Le 29 décembre, le Centre de tempête Internet SANS averti à propos d’une vague d’attaques Java qui utilisaient apparemment cette approche d’ingénierie sociale à bon escient. Les attaques tiraient parti de la fonctionnalité Java intégrée qui invite l’utilisateur à télécharger et exécuter un fichier, mais en utilisant une alerte de Java (si un utilisateur Windows accepte, il n’est pas dérangé par une invite ou un avertissement séparé du système opérateur).

« Si vous n’avez pas de zero-days, vous pouvez toujours recommencer à exploiter l’humain ! » Gestionnaire d’incidents SANS Daniel Wesmann a écrit. « Ceci est indépendant de la version de JRE utilisée – avec les paramètres par défaut de JRE, même sur JRE1.6-23, tout ce que l’utilisateur a à faire est de cliquer sur « Exécuter » pour devenir propriétaire. La seule petite amélioration est que les derniers JRE affichent « Publisher: (NOT VERIFIED) Java Sun » dans la fenêtre contextuelle, mais je suppose que les utilisateurs qui liront au-delà des deux points d’exclamation devront de toute façon cliquer sur « Exécuter ».

Les chercheurs de Kaspersky Lab ont également observé une augmentation considérable des attaques utilisant l’ingénierie sociale via Java. Viatcheslav Zakorjevskianalyste principal des logiciels malveillants au sein de la société de sécurité russe, a couvert cette tendance dans le Rapport mensuel de statistiques sur les logiciels malveillants de décembre 2010.

Dans notre revue de novembre, nous avons parlé de la croissance explosive de la famille Trojan-Downloader.Java.OpenConnection. Ces programmes agissent exactement de la même manière que les exploits dans les dernières étapes d’une attaque au volant, mais au lieu d’utiliser des vulnérabilités pour télécharger des logiciels malveillants sur les ordinateurs des victimes, ils utilisent la méthode OpenConnection d’une classe d’URL.

Deux représentants de Trojan-Downloader.Java.OpenConnection (2e et 7e places) faisaient partie du Top 20 des programmes malveillants détectés sur Internet en décembre. Au plus fort de leur activité, le nombre d’ordinateurs sur lesquels ces programmes ont été détectés sur une période de 24 heures dépassait 40 000. »

Comme nous venons de le mentionner, tous les représentants de la famille Trojan-Downloader.Java.OpenConnection, au lieu d’exploiter les vulnérabilités, utilisent la fonctionnalité Java standard pour télécharger et exécuter des fichiers à partir du Web. C’est actuellement l’une des principales méthodes de téléchargement de programmes malveillants écrits en Java. Il semble que jusqu’à ce qu’Oracle ferme la fonctionnalité que cette famille utilise pour télécharger des fichiers, sa popularité continuera de croître.

Le graphique ci-dessous montre le nombre d’ordinateurs que Kaspersky a trouvés infectés par Trojan-Downloader.Java.OpenConnection au cours des six dernières semaines de 2010.

Je ne préconise pas l’abandon massif de Java, comme certains lecteurs l’ont affirmé. Mais je continue d’exhorter les utilisateurs qui n’ont aucune raison d’utiliser ce programme à s’en débarrasser, en particulier sur les systèmes partagés par des internautes moins prudents. J’ai Java installé sur quelques-uns de mes PC où un logiciel particulier l’exige pour fonctionner correctement, mais j’ai déconnecté les plug-ins Java des navigateurs de ces systèmes.

Si vous êtes un utilisateur de Firefox et qu’un site Web que vous fréquentez nécessite Java, envisagez d’installer et d’utiliser l’excellent Extension NoScriptqui empêchera les sites Web d’exécuter des applets Java, sauf si vous les placez spécifiquement sur liste blanche.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *