La technologie Java a été de nombreuses fois la cible de malwares à cause de failles non corrigées, engendrant une polémique autour de sa sécurité. L’omniprésence de Java est une nouvelle fois en ligne de mire, mais le produit d’Oracle n’est pas seul cette fois car c’est bien le réseau publicitaire de Yahoo qui a été utilisé comme vecteur principal.
Yahoo.com comme vecteur de publicités infectées
Java est une technologie en perte de vitesse dans le paysage web et reste connue aujourd’hui que de quelques joueurs via les titres qui l’utilisent, à l’instar de Minecraft. Plusieurs fois au centre d’interrogations sur la sécurité informatique, le produit racheté par Oracle en même temps que Sun en 2009 a été pointé du doigt ces dernières années pour un manque de réactivité sur les corrections des failles. Sa présence sur de très nombreuses machines l’a rendu particulièrement attractif pour les pirates qui y cherchent autant de failles que possible.
Alors que la sécurité de Java fait actuellement l’objet de très gros travaux chez Oracle, un nouveau problème relance la polémique, qui se permet d’être double cette fois. Car non seulement ces nouvelles attaques se basent bien sur des failles Java, mais elles sont automatisées par une diffusion dans le système publicitaire de Yahoo.
C’est la société Fox IT qui est à l’origine de la découverte. Dans un billet datant de vendredi, elle explique avoir détecté une infection de ses machines après une visite automatisée du site Yahoo.com. Après analyse du problème, il s’est avéré que plusieurs publicités diffusées par Yahoo elle-même étaient vérolées, le système publicitaire devenant alors un vecteur.
Une détection automatisée des failles Java
Seule une partie des publicités s’est avérée problématique, mais toutes provenaient bien de la même adresse : ads.yahoo.com. Dans le cas d’une publicité contenant un malware, le contenu se présente en fait sous la forme d’un iframe hébergé sur l’un des cinq domaines suivants : blistartoncom.org, slaptonitkons.net, original-filmsonline.com, funnyboobsonline.org, yagerass.org. Il n’est pas nécessaire de cliquer sur la publicité pour déclencher les hostilités : si l’une des failles Java est présente, son seul affichage est suffisant.
Pour vérifier qu’une exploitation est possible, l’utilisateur est automatiquement redirigé vers le kit d’exploitation Magnitude via HTTP, sur un sous-domaine tel que boxsdiscussing.net, crisisreverse.net, ou limitingbeyond.net. Tous ces sous-domaines présentent d’ailleurs tous la même adresse IP, 193.169.245.78, hébergée aux Pays-Bas. À partir de là, Magnitude se charge d’examiner la configuration Java de la machine de l’utilisateur. Si l’une des failles prises en charge est détectée, plusieurs malwares peuvent être installés, parmi lesquels ZeuS, Andromeda, Dorkbot/Ngrbot, Tinba/Zusy ou encore Necurs. Et si la mention de Zeus vous rappelle quelque chose, c’est qu’un botnet de 100 000 machines infectées avait été détruit en 2009, potentiellement par un groupe concurrent de pirates.
Jusqu'à 27 000 machines contaminées par heure
L’infection n’aurait pas commencé avant le 30 décembre dernier, ce qui est donc très récent. Une information qui n’est pas étonnante puisqu’une infection de cette ampleur aurait nécessairement été détectée dans les jours qui suivaient. Mais de quelle ampleur parle-t-on au juste ? Selon Fox IT, le nombre de visites sur Yahoo.com est d’environ 300 000 par heure. Sur ce chiffre, l’entreprise a appliqué un taux d’infection décrit comme « typique » de 9 %, aboutissant ainsi à 27 000 infections de machines par heure.
Actuellement, les trois pays les plus touchés par cette infection de masse sont le Royaume-Uni, la Roumanie et … la France. Fox IT n’explique pas clairement pourquoi ces trois sont plus concernés que les autres, mais suppose que cela tient à la configuration des publicités infectées, donc à une volonté des pirates qui se tiennent derrière l’attaque. Pour Fox IT, la motivation est certainement financière et rappelle celle de php.net en octobre 2013.
Se protéger contre ce type d'attaque
Mais comment se prémunir contre cette attaque ? Tout d’abord, Yahoo est au courant de l’attaque et le trafic vers le kit d’exploitation a très largement diminué. Ensuite, il est possible de prendre deux mesures pour bloquer toute opportunité de contamination. D’une part, bloquer les sous-réseaux suivants :
- 192.133.137/24
- 192.169.245/24
D’autre part, changer une option dans la configuration Java. Il est en effet possible de garder l’installation en place, par exemple dans le cas où vous êtes un joueur de Minecraft, sans pour autant que le module soit actif dans les navigateurs. Rendez-vous pour cela dans la configuration de Java (accessible depuis les panneaux de configuration de chaque système d’exploitation) :
Dans l’onglet Sécurité, décochez la case « Activer le contenu Java dans le navigateur », ce qui bloquera toute lecture de contenu Java durant une session de surf.
Commentaires (53)
#1
Adblock plus est-il suffisant dans le cas présent pour se protéger?
#2
Perso je n’ai même plus de JRE depuis au moins 3 ans
" />
#3
Je maintiens Java à jour, mais surtout je l’ai désactivé dans les navigateurs, donc…
" />
#4
#5
Protection je pige, mais si on est déja infecté?
Et la question concernant ABP est intéressante
#6
Java est une technologie en perte de vitesse dans le paysage web et reste connue aujourd’hui que de quelques joueurs via les titres qui l’utilisent, à l’instar de Minecraft.
Les applets Java on n’en trouve plus.
Côté serveur c’est une autre histoire, il y a du J2EE un peu partout…
#7
#8
#9
#10
Selon Fox IT, le nombre de visites sur Yahoo.com est d’environ 300 000 par heure. Sur ce chiffre, l’entreprise a appliqué un taux d’infection décrit comme « typique » de 9 %, aboutissant ainsi à 27 000 infections de machines par heure.
echo $RANDOM est aussi pertinent que le calcul de Fox IT.
#11
Voila pourquoi la publicité est un fléau. Si les utilisateurs acceptaient de payer le contenu jamais cela n’arriverai.
Comme dirait l’autre si c’est gratuit c’est que c’est toi le produit.
Moi je dirais plutôt si c’est gratuit tu le payeras à postériori
#12
Moi si ca ne tenais qu’a moi je n’installerais jamais java.
" />
Mais j’suis obligé d’installer Java pour recharger mon pass Navigo tous les mois.
Avec le lecteur de carte USB et le site Navigo.fr
#13
Étrange titre … c’est Yahoo la victime? Ce ne serait pas plutôt eux les responsables en servant du contenu dynamique en pub ? S’il y avait plus de contrôle sur les pubs et un simple texte ou image statique il n’y aurait probablement jamais eu le problème.
#14
#15
#16
Une agence de pub qui permet à ses clients (ceux qui conçoivent les pubs) mettre des iframes, ya que moi que ça choque ?
Perso si j’intègre une pub sur un site j’attend que l’agence n’affiche que du contenu qu’elle maîtrise (et donc héberge elle même) non ?
En même temps quand on intègre un script d’affiliation, quand on voit qu’il en appelle un autre puis un autre,… tous de domaines et de sociétés différentes ça fait peur. Rien n’empêche l’une d’entre elle de générer un peu plus qu’une image de tracking. Et encore on ne voit que la partie cliente.
Bref tout cela pose des problèmes de vie privée mais aussi maintenant de sécurité puisque plus personne ne maîtrise le code final de ses pages. On l’a vu récemment sur d’autres sites en apparence plus “intègres” qui se sont vu bloqués par google suite à des pubs un peu trop virulentes et non contrôlées.
Je pense qu’adblock protège dans ce cas précis puisqu’il agit en amont du chargement du code html et que l’iframe “mère” ads.yahoo.com est filtrée.
#17
blistartoncom.org, slaptonitkons.net, original-filmsonline.com, funnyboobsonline.org, yagerass.org
" />
#18
#19
#20
#21
#22
#23
…bloquer les sous-réseaux suivants :
Comme tout le monde n’est pas forcément au courant de ce que représente cette notation (on la voit de plus en plus souvent, mais elle reste rare), et qu’en plus peu de firewalls l’utilisent, je pense qu’il serait utile de préciser que ça équivaut à la notation :
#24
Ça fait bien longtemps que j’ai dégagé toutes ces saloperies de modules “complémentaires” gruyère de mon Firefox.
" />
Comme je l’ai déjà dit pour les 36news précédentes concernant des failles Java exploitées par le biais du browser, si vous ne l’avez toujours pas désactivé, c’est que vous méritez d’être infecté.
Une sorte de sélection naturelle moderne, en somme…
#25
#26
#27
Ensuite, il est possible de prendre deux mesures pour bloquer toute opportunité de contamination. D’une part, bloquer les sous-réseaux suivants :
•192.133.137⁄24
•192.169.245⁄24
ce conseil n’est pas vraiment pertinent.
ça demande un effort inutile (modifier la config d’un routeur) pour un bénéfice niveau sécurité quasi nul.
l’auteur de ces attaques aura vite fait d’utiliser d’autres adresses ip venant d’un hébergeur différent. Et au final, ces adresses resteront inaccessibles même une fois qu’elles auront été réutilisées pour heberger des sites légitimes.
#28
#29
Sur le fond, je ne comprends pas pourquoi la société Fox IT conseille de bloquer ces 2 plages d’adresse alors qu’il n’y a qu’une adresse qui est concernée au final, c’est 193.169.245.78 donc du second bloc d’adresse qui est chez GoDaddy
c’est un conseil ridicule.
la seule vraie solution, c’est d’avoir un JRE à jour, et idéalement, de désactiver le support de java dans le navigateur comme indiqué dans la news, sachant que des sites qui exploitent des failles java il y a en a des milliers d’autres.
si on se met à vouloir bloquer chaque ip ou bloc d’ip qui sert des malwares, on a pas fini!
#30
#31
Pour répondre à la question Adblock, il faut simplement se rappeler du pb réel : contrairement à ce que j’ai lu dans un com, ce n’est pas java dans la machine, qui permet par exemple de faire tourner un logiciel en java (comme JDownloader ou µTorrent
" /> ), qui est en cause, mais les applet java déclenchés par le navigateur quel qu’il soit, donc un plug-in du navigateur.
Par conséquent, OUI, adblock (et/ou + Ghostery) sera efficace dans le sens où il ne permettra pas aux pubs de s’afficher dans le navigateur, ce qui règle CE problème de la news qui concerne une infection par des pubs.
Mais NON, adblock ne règle pas tous les pb et il vaut mieux prendre le pb à la racine : désactiver toute occurrence de java dans un navigateur par quelque plug-in que ce soit.
Un exemple ? AB est activé, il n’y aura pas de pub donc pas de malware dans les pubs, mais M Michu se dit en surfant sur ce si joli site : “tiens, je vais regarder ce panorama 360° sympa avec ces si jolis paysages…”… Malheureusement, il y a 3 moyens de les créer et les mettre à dispo sur un site : flash, quicktime et… java.
En suivant les recommandations de la news, il ne pourra voir que celles qui ne sont pas concernées par cette infection.
#32
Yahoo est relou avec ses pubs.
" />
Si vous utilisez un bloqueur de pub (comme ABP), il n’est plus possible d’étendre la zone à droite pour lire un email en pleine largeur. Par contre, si vous mettez le domaine yahoo en liste blanche, la pub est présente et AVEC la fameuse flèche pour étendre vers la droite la fenêtre d’affichage du corps du message.
Ca peut aller sur des configs avec grand écran mais sur des écrans anciens, c’est chiant. Et la seule possibilité est de prendre un abo premium pour avoir Yahoo sans pubs…
#33
#34
#35
#36
#37
#38
#39
#40
#41
#42
#43
Firefox ne lance plus de Java sans demander la permission par défaut. Ça devrait limiter la diffusion de ce genre de malware
#44
#45
#46
#47
#48
Bon, Java a beau être désactivé dans mes navigateurs, la news a eut le mérite de me rappeler de mettre la bête à jour (j’en ai resté à la 1.7 màj 21).
" />
#49
#50
#51
#52
#53
Le jour où les navigateurs ne prendrons plus en compte les IFRAME…