Un exploit pour un récemment révélé Java vulnérabilité qui n’était auparavant disponible à l’achat que dans le milieu criminel a maintenant été intégré à l’open source Metasploit cadre d’exploitation. Les chercheurs de Metasploit affirment que l’outil d’attaque Java a été testé pour fournir avec succès des charges utiles sur une variété de plates-formes, y compris la dernière les fenêtres, Mac et Linux systèmes.
Lundi, j’ai révélé comment l’exploit Java est vendu sur des forums de cybercriminalité et intégré dans des kits de logiciels criminels automatisés comme BlackHole. Depuis lors, les chercheurs en sécurité @_sinn3r et Juan Vasquez ont développé un module pour Metasploit qui met l’outil d’attaque à la disposition des testeurs d’intrusion et des pirates malveillants. Selon un article sur le blog Metasploit aujourd’huila vulnérabilité Java « est particulièrement pernicieux, car il est multiplateforme, non corrigé sur certains systèmes et est un côté client facile à exploiter qui ne fait pas grand-chose pour informer l’utilisateur qu’il est exploité.”
Metasploit a également publié les résultats des tests de l’exploit sur une variété de navigateurs et de plates-formes, et a constaté qu’il fonctionnait de manière presque transparente pour compromettre les systèmes à tous les niveaux, des dernières machines Windows 7 64 bits aux systèmes Mac OS X et même Linux.
Ce développement ne doit pas être pris à la légère par tout utilisateur d’ordinateur. Selon le fabricant de Sun, Oracle, plus de trois milliards d’appareils exécutent Java. De plus, les vulnérabilités Java sont, selon certains, les chemins d’exploitation les plus populaires pour les escrocs informatiques de nos jours. Lundi, Microsoft Tim Rains publié un article de blog notant que les types d’exploits les plus fréquemment observés au premier semestre 2011 étaient ceux ciblant des vulnérabilités dans Oracle (anciennement Sun Microsystems) Java Runtime Environment (JRE), Java Virtual Machine (JVM) et Java SE dans le kit de développement Java (JDK ).
De ce billet de blog :
« Au cours de la période d’un an commençant au troisième trimestre de 2010 (3Q10) et se terminant au deuxième trimestre de 2011 (2Q11), entre un tiers et la moitié de tous les exploits observés au cours de chaque trimestre étaient des exploits Java.[1]. Au cours de cette période d’un an, les technologies antimalware de Microsoft ont détecté ou bloqué, en moyenne, 6,9 millions de tentatives d’exploitation sur les composants liés à Java par trimestre, totalisant près de 27,5 millions de tentatives d’exploitation au cours de l’année.
Les attaques d’exploit une vulnérabilité qui existe dans Oracle Java SE JDK et JRE 7 et 6 mise à jour 27 et plus tôt. Si vous utilisez Java 6 mise à jour 29ou Java 7 mise à jour 1, alors vous avez la dernière version qui est corrigée contre cela et 19 autres menaces de sécurité. Si vous utilisez une version vulnérable de Java, il est temps de mettre à jour. Vous ne savez pas si vous avez Java ou quelle version vous utilisez ? Vérifier ce lien, puis cliquez sur « Ai-je Java? » lien sous le gros bouton rouge « Téléchargement Java gratuit ». Apple a publié sa propre mise à jour pour corriger cette faille et d’autres bogues Java plus tôt ce mois-ci.
Selon les journaux de mon serveur, près de 80 % des lecteurs de ce blog au cours du mois dernier ont installé une version de Java, bien que mes statistiques ne répertorient pas les numéros de version. Au risque de ressembler à un disque rayé, je vais répéter mon conseil du début de la semaine : si vous n’avez pas besoin de Java, débarrassez-vous en. La plupart des gens qui l’ont ne le manqueront pas. Pour ceux qui ont besoin de Java pour un site ou un service occasionnel, le déconnecter des plugins du navigateur et se reconnecter temporairement si nécessaire est un moyen de minimiser les problèmes avec ce programme puissant. Laisser le plug-in Java installé dans un navigateur secondaire utilisé uniquement pour les sites ou services nécessitant Java est une autre alternative.