Une nouvelle analyse d’un exploit Java zero-day qui a fait surface la semaine dernière indique qu’il tire parti non pas d’une mais de deux vulnérabilités jusque-là inconnues dans le logiciel largement utilisé. Les derniers chiffres suggèrent que ces vulnérabilités ont exposé plus d’un milliard d’utilisateurs à des attaques.
Esteban Guillardoydéveloppeur de la société de sécurité Immunité Inc.a déclaré que la vulnérabilité sous-jacente existe depuis le 28 juillet 2011.
« Il existe 2 vulnérabilités zero-day différentes utilisées dans cet exploit », a écrit Guillardoy dans une longue analyse de l’exploit. « La beauté de cette classe de bogues est qu’elle offre une fiabilité à 100 % et qu’elle est multiplateforme. Par conséquent, cela deviendra bientôt le couteau suisse des tests d’intrusion pour les deux prochaines années (tout comme son frère aîné CVE-2008-5353).
UN MILLIARD D’UTILISATEURS À RISQUE ?
Combien de systèmes sont vulnérables ? Oracle Corp., qui gère Java, affirme que plus de 3 milliards d’appareils exécutent Java. Mais combien de ces systèmes exécutent une version de Java 7 (toutes les versions de Java 7 sont vulnérables ; cette faille n’existe pas dans les versions de Java 6).
Pour me faire une idée, j’ai demandé Sécuniaà qui Inspecteur des logiciels personnels programme fonctionne sur des millions de PC. Secunia a déclaré que sur un échantillon aléatoire de 10 000 utilisateurs de PSI, 34,2 % avaient installé une version de Java 7. Dans le même ensemble de données, 56,4 % des utilisateurs avaient installé une mise à jour de Java 6. En supposant que l’échantillon de 10 000 utilisateurs de Secunia est représentatif de la population plus large d’utilisateurs d’ordinateurs, plus d’un milliard d’appareils pourraient être vulnérables aux attaques via cet exploit.
EXPLOIT FONCTIONNE CONTRE OS X, LINUX
Peu de temps après l’annonce de la nouvelle selon laquelle des malfaiteurs exploitaient une faille de sécurité non corrigée dans Java pour pénétrer dans les PC, j’ai commencé à voir des tweets d’utilisateurs non Windows exhortant les gens à passer à Mac OS X ou Linux. Malheureusement, il a été démontré que ce dernier exploit Java fonctionnait parfaitement pour compromettre les navigateurs sur les trois systèmes d’exploitation.
Selon Rapide7l’exploit Java utilisé dans des attaques ciblées (CVE-2012-4681) est maintenant disponible en tant que plug-in pour Metasploit, un outil logiciel gratuit conçu pour tester la sécurité des réseaux. Rapide7 mentionné l’exploit a été testé avec succès pour fonctionner contre presque toutes les configurations de navigateur sur les systèmes Windows, et contre Safari au OS X 10.7.4 et MozillaFirefox au UbuntuLinux 10.04.
QUI BRÛLE PENDANT DEUX JOURS À ZÉRO EN UN SEUL COUP ?
Lundi, j’ai interviewé l’auteur du Kit d’exploitation BlackHole, un progiciel extrêmement populaire vendu dans le clandestin, conçu pour être intégré à des sites piratés et utiliser des exploits de navigateur pour déposer des logiciels malveillants sur les PC en visite. L’auteur de BlackHole a déclaré qu’il avait l’intention (et l’a fait, semble-t-il) de plier l’exploit en sa troussemais a déclaré qu’il était surpris que quelqu’un divulgue un exploit aussi fiable, qui, selon lui, rapporterait au moins 100 000 $ s’il était vendu en privé dans la clandestinité criminelle.
Cette page de statistiques, partagée par des chercheurs de Seculert, provient d’un panneau d’exploit BlackHole fonctionnel. Le taux de réussite de ce kit – 21% – est à peu près le double du taux normal grâce à l’inclusion de ce Java zero-day.
Mais perdu dans toute la couverture de cette vulnérabilité est le nombre croissant de preuves suggérant que cet exploit Java a été utilisé pour la première fois dans des attaques d’espionnage ciblées du type utilisé pour extraire des secrets d’entreprise et gouvernementaux. Alors, qui brûle à travers deux failles zero day pour exécuter une attaque ciblée ? Selon toute vraisemblance, un individu ou un groupe motivé par une idéologie non matérialiste, ou du moins la certitude que ce qui sera gagné vaut bien plus que la vulnérabilité elle-même.
Des experts basés dans la Silicon Valley AlienVault publié une analyse qui a mis en évidence certaines chaînes de texte intéressantes dans l’exploit (« xiaomaolv » et conglaiyebuqi ») qui suggérer les attaques initiales ont été associées à des logiciels criminels chinois connus sous le nom de Kit d’exploitation Gondad.
D’autres marqueurs curieux dans le code d’exploitation indiquent que les attaques ciblées ont été menées à l’aide de serveurs Internet qui ont été connectés à d’autres attaques d’espionnage ciblées remontant à des groupes d’acteurs menaçants chinois. Parmi les serveurs de contrôle utilisés dans cette dernière attaque figurait « domain.rm6.org », une adresse Internet qui a joué un rôle central dans la Attaques nitro de 2011qui selon Symantec et autre entreprises de sécurité était une série d’attaques d’espionnage basées en Chine dirigées contre au moins 48 entreprises chimiques et de défense.
Malheureusement, les malfaiteurs impliqués dans ces attaques ciblées ont réussi à utiliser les mêmes ressources et outils jusqu’en 2010 et avant. C’est selon une présentation donnée en 2010 par des chercheurs d’exploits et de logiciels malveillants Val-Smith et Anthony Laïappelé « Équilibrer le déficit budgétaire» (PDF).
L’article détaille l’histoire et les méthodes des groupes de piratage chinois et note que les deux chaînes trouvées dans l’exploit Java le plus récent sont une invocation favorite pour les variables de script qui sont réutilisées dans divers outils d’attaque d’origine chinoise. Les termes « xiaomaolv » et conglaiyebuqi » et plusieurs autres utilisés, ont-ils découvert, proviennent des paroles de chansons de l’artiste connu sous le nom de Jay Zhou.
« Le fait qu’il y ait des paroles de chansons intégrées nous dit potentiellement plusieurs choses », ont-ils écrit. « Premièrement, cela aide à confirmer que cette attaque a été créée dans la région géographique supposée. Il est inhabituel pour les attaquants d’un pays et d’une langue de prendre les paroles d’une chanson populaire d’un autre pays et d’une autre langue et de les intégrer dans leurs attaques.
PATCH DISPONIBLE ?
Comme je l’ai noté plus tôt cette semaine, Oracle a déplacé Java vers un cycle de correctifs tous les quatre mois, et sa prochaine mise à jour de sécurité n’est pas prévue avant octobre. Mardi, j’ai contacté Oracle pour savoir s’ils avaient l’intention de résoudre ce problème séparément d’ici là, mais je n’ai pas encore reçu de réponse. Je n’ai pas non plus trouvé de mention de ce problème sur l’un des différents blogs Java dont Oracle a hérité lorsqu’il a pris le contrôle de Java à Sun il y a quelques années. En fait, la plupart de ces blogs Java semblent avoir disparu.
En attendant, c’est une bonne idée de débrancher Java de votre navigateur ou de le désinstaller complètement de votre ordinateur.
Les utilisateurs de Windows peuvent savoir s’ils ont installé Java et quelle version en visitant java.com et en cliquant sur « Ai-je Java ? lien. Les utilisateurs de Mac peuvent utiliser la fonction de mise à jour logicielle pour vérifier les mises à jour Java disponibles.
Si vous utilisez Java principalement parce qu’un site Web ou un programme se trouve sur votre système, tel que Bureau ouvert ou Esprit libre – l’exige, vous pouvez toujours réduire considérablement le risque d’attaques Java simplement en désactivant le plug-in dans votre navigateur Web. Dans ce cas, je suggérerais une approche à deux navigateurs. Si vous naviguez normalement sur le Web avec Firefoxpar exemple, pensez à désactiver le plug-in Java dans Firefox, puis à utiliser un autre navigateur (Chrome, IE9, Safarietc.) avec Java activé pour parcourir uniquement le site qui en a besoin.
Pour obtenir des instructions spécifiques au navigateur sur la désactivation de Java, cliquez ici. Si vous voulez tester si vous avez réussi à désactiver Java, consultez la page de Rapid7, isjavaexploitable.com.