Les attaquants ont saisi une faille de sécurité jusque-là inconnue dans l’omniprésent d’Oracle Java logiciels pour s’introduire dans des systèmes vulnérables. Jusqu’à présent, les attaques exploitant cette faiblesse ont été ciblées et peu répandues, mais il semble que le code d’exploitation soit désormais public et intégré à des outils d’attaque plus largement disponibles tels que Metasploit et exploiter des kits comme Trou noir.
Un module Metasploit développé pour cibler ce Java 0-day.
La nouvelle de la vulnérabilité (CVE-2012-4681) a fait surface à la fin de la semaine dernière dans un article de blog un peu clairsemé par FireEyequi disait l’exploit semblait fonctionner avec la dernière version de Java 7lequel est version 1.7, mise à jour 6. Ce matin, les chercheurs André’ M. DiMino & Mila Parkour publié Détails supplémentaires sur les attaques ciblées vues jusqu’à présent, confirmant que le jour zéro affecte Java 7 Update 0 à 6, mais ne ne semble pas avoir d’impact sur Java 6 et les versions antérieures.
Les rapports initiaux indiquaient que le code d’exploitation fonctionnait contre toutes les versions de Internet Explorer, Firefox et Opéramais n’a pas fonctionné contre Google Chrome. Mais selon Rapide 7il existe un module Metasploit en développement qui déploie avec succès cet exploit contre Chrome (sur au moins Windows XP).
En outre, il y a des indications que cet exploit sera bientôt intégré au Kit d’exploitation BlackHole. Contacté par message instantané, le conservateur de l’outil d’attaque commerciale largement utilisé a confirmé que le code d’exploitation désormais public fonctionnait bien et a déclaré qu’il prévoyait de l’intégrer à BlackHole dès aujourd’hui. « Le prix d’un tel exploit s’il était vendu en privé serait d’environ 100 000 dollars », a écrit Pansele surnom utilisé par l’auteur de BlackHole.
Oracle n’est pas prévu de publier une autre mise à jour de sécurité pour Java avant octobre. En attendant, c’est une bonne idée de débrancher Java de votre navigateur ou de le désinstaller complètement de votre ordinateur.
Les utilisateurs de Windows peuvent savoir s’ils ont installé Java et quelle version en visitant java.com et en cliquant sur « Ai-je Java ? lien. Les utilisateurs de Mac peuvent utiliser la fonction de mise à jour logicielle pour vérifier les mises à jour Java disponibles.
Si vous utilisez Java principalement parce qu’un site Web ou un programme se trouve sur votre système, tel que Bureau ouvert ou Esprit libre – l’exige, vous pouvez toujours réduire considérablement le risque d’attaques Java simplement en désactivant le plug-in dans votre navigateur Web. Dans ce cas, je suggérerais une approche à deux navigateurs. Si vous naviguez normalement sur le Web avec Firefoxpar exemple, pensez à désactiver le plug-in Java dans Firefox, puis à utiliser un autre navigateur (Chrome, IE9, Safarietc.) avec Java activé pour parcourir uniquement le site qui en a besoin.
Pour obtenir des instructions spécifiques au navigateur sur la désactivation de Java, cliquez ici.
Si vous devez utiliser Java, les experts en sécurité préparent un patch non officiel pour le programme qui devrait atténuer cette vulnérabilité, mais il est proposé à la demande à ce stade. Un certain nombre d’experts que je connais et que je respecte se sont portés garants de l’intégrité de ce correctif, mais l’installation de correctifs tiers ne doit pas être effectuée à la légère. Notez que la régression vers la dernière version de Java 6 (Java/JRE 6 Update 34) est certainement une option, mais pas très bonne non plus. Si vous n’avez pas besoin de Java, débarrassez-vous-en, et si vous en avez besoin pour des applications ou des sites spécifiques, limitez votre utilisation de Java à ces sites et applications, en utilisant un navigateur secondaire à cette fin.
Si vous avez aimé cet article, consultez mon histoire de suivi, Chercheurs : Java Zero-Day Leveraged Two Flaws.