Si votre ordinateur fonctionne Java et que vous n’avez pas mis à jour la dernière version, vous demandez peut-être des ennuis : un exploit puissant qui tire parti d’une faille de sécurité récemment révélée dans Java a été intégré dans des kits d’exploitation automatisés et augmente rapidement les taux de réussite de ces outils dans s’attaquer aux internautes vulnérables.
L’exploit cible un bogue dans Java (CVE-20120-0507) qui permet effectivement de contourner le bac à sable de Java, un mécanisme intégré au logiciel omniprésent conçu en partie pour contrer les attaques de code malveillant. Centre de protection contre les logiciels malveillants de Microsoft averti la semaine dernière que de nouveaux échantillons de logiciels malveillants faisaient surface, ce qui s’est avéré très efficace pour exploiter la faille. Microsoft affirme que les échantillons qu’il a vus ont chargé le cheval de Troie ZeuS, mais les voleurs peuvent utiliser de telles attaques pour installer les logiciels malveillants de leur choix.
Selon des publications sur plusieurs forums de cardage clandestins, l’exploit a maintenant été automatiquement déployé sur les mécréants armés de BlackHole, de loin le pack d’exploit le plus utilisé. Un pack d’exploits est une boîte à outils logicielle qui est injectée dans des sites piratés ou malveillants, permettant à l’attaquant d’imposer un évier de cuisine plein d’exploits de navigateur aux visiteurs. Ceux qui visitent de tels sites avec des plugins de navigateur obsolètes peuvent avoir des logiciels malveillants installés en silence, et Java est presque universellement la méthode de compromis la plus efficace parmi tous les kits d’exploit.
Selon le géant du logiciel OracleJava est déployé sur plus de 3 milliards de systèmes dans le monde. Mais la vérité est que de nombreuses personnes qui ont installé ce programme puissant n’en ont tout simplement pas besoin, ou n’en ont besoin que pour des utilisations très spécifiques. J’ai encouragé à plusieurs reprises les lecteurs à désinstaller ce programme, non seulement en raison de la mise à jour constante qu’il nécessite, mais aussi parce qu’il semble y avoir une offre sans fin de nouveaux exploits disponibles pour les vulnérabilités récemment corrigées ou non documentées dans le programme.
Exemple : sur au moins deux forums Underweb où je me cache régulièrement, il y a des discussions entre plusieurs membres principaux sur la vente et la disponibilité d’un exploit pour une faille critique encore non corrigée dans Java. Je n’ai pas vu de preuves de première main qui prouvent que cet exploit 0day existe, mais il semble que l’argent change de mains pour ledit code.
Si vous n’avez pas besoin de Java, jetez-le ; vous pouvez toujours le réinstaller plus tard si vous en avez besoin. Si vous avez besoin de Java pour un site Web spécifique, je suggérerais une approche à deux navigateurs. Si vous naviguez normalement sur le Web avec Firefoxpar exemple, envisagez de désactiver le plug-in Java dans Firefox (dans le menu Modules complémentaires, cliquez sur Plugins, puis désactivez tout ce qui concerne Java et redémarrez le navigateur), puis utilisez un autre navigateur (Chrome, IE9, Safarietc.) avec Java activé pour parcourir uniquement le site qui en a besoin.
Les dernières versions de Java (qui corrigent le trou CVE-2012-0507) sont Java version 6 mise à jour 31ou Java 7 mise à jour 3publié le 15 février 2012. Veuillez noter que si vous désactivez le plug-in Java à partir d’un navigateur, la prochaine fois que vous mettrez à jour le programme, vous devrez peut-être le désactiver à nouveau, car Java a tendance à se réactiver à chaque mise à jour de sécurité. .
Mise à jour, 28 mars, 15 h 48 HE : Marcus Carey, chercheur en sécurité chez Rapid7, ajoute un peu plus de recul sur la gravité de la situation avec cet exploit. Il estime que plus de 60 à 80 % des utilisateurs ne sont probablement pas encore corrigés de cette faille. Voici ce qu’il a écrit :
Chaque fois qu’un exploit, comme celui de CVE-2012-0507, est ajouté à des kits d’exploit de masse, il passe d’un « risque hypothétique » à un réel risque. Cet exploit particulier peut être trouvé dans le kit BlackHole Exploit largement utilisé.
Sur la base des habitudes de correctifs Java de 28 millions d’internautes uniques, Rapid7 estime que 60 à 80 % des ordinateurs exécutant Java sont aujourd’hui vulnérables à cette attaque.
À long terme, plus de 60 % des installations Java ne sont jamais à la hauteur du niveau de correctif actuel. Étant donné que de nombreux ordinateurs ne sont pas mis à jour, même des exploits plus anciens peuvent être utilisés pour compromettre les victimes.
Rapid7 a étudié le cycle de correctifs typique pour Java et identifié un modèle de comportement révélateur. Nous avons constaté qu’au cours du premier mois suivant la publication d’un correctif Java, l’adoption est inférieure à 10 %. Après 2 mois, environ 20% ont appliqué des patchs et après 3 mois, nous avons constaté que plus de 30% sont patchés. Nous avons déterminé que le taux de correctifs le plus élevé l’année dernière était de 38 % avec Java Version 6 Update 26 3 mois après sa sortie.
Étant donné que cela ne fait qu’un mois environ que le correctif a été publié (le 15 février), il est probable que seuls environ 10 % des utilisateurs aient appliqué le correctif.