Un nouvel exploit qui tire parti d’une faille de sécurité critique récemment corrigée dans Java fait le tour de la clandestinité criminelle. L’exploit, qui semble fonctionner contre toutes les versions de Java sauf les dernières, est lentement intégré dans des outils d’attaque automatisés.
Les attaques d’exploit une vulnérabilité qui existe dans Oracle Java SE JDK et JRE 7 et 6 mise à jour 27 et plus tôt. Si vous utilisez Java 6 mise à jour 29ou Java 7 mise à jour 1, alors vous avez la dernière version qui est corrigée contre cela et 19 autres menaces de sécurité. Si vous utilisez une version vulnérable de Java, il est temps de mettre à jour. Vous ne savez pas si vous avez Java ou quelle version vous utilisez ? Vérifier ce lien, puis cliquez sur « Ai-je Java? » lien sous le gros bouton rouge « Téléchargement Java gratuit ».
Il y a quelques semaines, le chercheur Michael ‘mihi’ Schierl décrit comment on pourrait exploiter cette faille Java particulière. Au cours du week-end, je suis tombé sur une discussion dans un forum exclusif sur la cybercriminalité à propos d’un exploit qui semble avoir été militarisé dans le même sens que celui décrit par Schierl. Vous trouverez ci-dessous un enregistrement d’une vidéo publiée par l’un des membres qui montre l’attaque en action.
Les exploits Java connaissent un succès notoire lorsqu’ils sont regroupés dans des packs d’exploits commerciaux, des kits logiciels qui peuvent transformer un site Web piraté en un champ de mines virtuel pour les utilisateurs Web qui ne se tiennent pas au courant des derniers correctifs de sécurité. Les utilisateurs n’auraient qu’à naviguer vers un site piégé avec une version de MozillaFirefox ou Internet Explorer qui exécute quelque chose de plus ancien que le dernier package Java, et le site pourrait installer silencieusement des logiciels malveillants (selon un malfaiteur vendant l’accès à l’exploit, il ne fonctionne pas de manière fiable contre Google Chrome pour une raison quelconque).
Étant donné que Java est multiplateforme, cette attaque pourrait théoriquement être utilisée pour infiltrer des systèmes non Windows, tels que des ordinateurs exécutant Mac OS X (Apple a publié sa propre mise à jour pour corriger cette faille et d’autres bogues Java plus tôt ce mois-ci). Pour l’instant, cependant, je n’ai entendu dire qu’il était utilisé pour cibler les PC Windows : il est lentement intégré au kit d’exploitation BlackHole, l’un des packs d’exploitation les plus largement déployés sur le marché aujourd’hui.
Contacté par message instantané, le pirate principalement responsable de la maintenance et de la vente de BlackHole a déclaré que le nouvel exploit Java était déployé gratuitement pour les titulaires de licence existants. Pour tous les autres, l’exploit peut être obtenu pour un prix de 4 000 $, en plus du coût d’une licence BlackHole, qui coûte 700 $ pour trois mois, 1 000 $ pour six mois ou 1 500 $ par an. L’auteur de BlackHole vend également sa propre solution hébergée, dans laquelle les clients peuvent louer des serveurs à l’épreuve des balles avec des copies préinstallées de son kit pour 200 $ par semaine, ou 500 $ par mois.
Je maintiens mon conseil en exhortant ceux qui n’ont pas besoin de Java à le jeter; la plupart des gens qui l’ont ne le manqueront pas. Pour ceux qui ont besoin de Java pour un site ou un service occasionnel, le déconnecter des plugins du navigateur et se reconnecter temporairement si nécessaire est un moyen de minimiser les problèmes avec ce programme puissant. Laisser le plug-in Java installé dans un navigateur secondaire utilisé uniquement pour les sites ou services nécessitant Java est une autre alternative.