Un malware exploite une faille Java corrigée en juin dernier

Un malware exploite une faille Java corrigée en juin dernier

Et pourtant, il est quand même dangeureux

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

29/01/2014 3 minutes
40

Un malware exploite une faille Java corrigée en juin dernier

L’éditeur de solutions de sécurité Kaspersky avertit sur son blog d’un nouveau malware utilisant une faille de la machine virtuelle Java. Même si la brèche a déjà été colmatée, nombreux sont les ordinateurs à posséder une ancienne mouture, ce qui rend la menace potentiellement sérieuse.

java malware kaspersky

Une faille corrigée depuis juin 2013... 

Selon Kaspersky, le malware HEUR:Backdoor.Java.Agent.a est suffisamment dangereux pour justifier une alerte. Il utilise une faille Java que l’on peut trouver dans la version 7 Update 21 et toutes les moutures antérieures. Dans la pratique, cette vulnérabilité a été corrigée en juin dernier, mais le processus de mise à jour automatique n’est non seulement pas activé chez tous les utilisateurs, mais beaucoup remettent cette opération à plus tard, se contentant de rejeter l’avertissement quand il apparaît à l’écran.

 

Comme expliqué sur le blog de Kaspersky, l’exploitation peut se faire à travers des graphismes vectoriels spécialement conçus et placés au sein d’une page web. Le problème de cette faille est qu’elle est disponible potentiellement sur la totalité des systèmes d’exploitation où Java peut être installé, autrement dit Windows, OS X et Linux pour les trois plus importants.

... mais qui peut quand même provoquer des dégâts 

Une fois la faille exploitée, le malware s’installe et se copie automatiquement dans les dossiers de démarrage automatique de chaque système pour pouvoir être exécuté à chaque lancement de l’ordinateur. Il communique ensuite avec un canal IRC par lequel il va recevoir les instructions du serveur Command & Control (C&C). Toujours selon Kaspersky, le malware est écrit lui-même en Java et a été conçu pour relayer des commandes d’attaques par déni de service (DDoS). Il intègre même PircBot, une API IRC elle aussi basée sur Java.

 

La solution pour se prémunir contre cette menace est relativement simple : il suffit de mettre à jour votre version de Java si ce n’est pas déjà fait. Si vous possédez la mouture la plus récente, à savoir Java 7 Update 51, vous n’avez donc rien de particulier à faire. Notez que si Java ne vous sert pas, il est également possible de le désinstaller. Si vous vous en servez pour d’autres besoins, notamment dans le cas du jeu Minecraft, il est possible d’aller dans les réglages Java et de désactiver l’intégration dans le navigateur. De cette manière, les failles ne pourront pas être exploitées par des sites.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une faille corrigée depuis juin 2013... 

... mais qui peut quand même provoquer des dégâts 

Commentaires (40)


Y a-t-il encore un intérêt pour un particulier de laisser l’intégration dans un navigateur ? Quels sites ‘honnêtes’ réclament encore Java ?


Ca faisait longtemps tiens!


java et sa demande de mise a jour qui saoule a chaque demarrage windows? si tu dis oui tu attend 20min et au final il te dis qu’il n’y a pas de MaJ, tu dis non tu as tout de suite acces à ton PC <img data-src=" />



repetez après moi : le java c’est tabou, on en viendra tous a bout


Je dois bien connaitre 2-3 personnes qui a chaque fois qu’ils voient le pop-up Java mise à jour ou flash, le ferme en me disant que c’est surement un virus ou une publicité indésirable. <img data-src=" />








kosame a écrit :



java et sa demande de mise a jour qui saoule a chaque demarrage windows? si tu dis oui tu attend 20min et au final il te dis qu’il n’y a pas de MaJ, tu dis non tu as tout de suite acces à ton PC <img data-src=" />



repetez après moi : le java c’est tabou, on en viendra tous a bout







Tu dois avoir un très vieux PC ?



Même sur mon portable principale, un vieux Pentium M 1.6 ghz de 2004 la mise à jour prend moins de 5 minutes.



“mais beaucoup remettent cette opération à plus tard, se contentant de rejeter l’avertissement quand il apparaît à l’écran.”



et après, que ce soit java ou ses copains, le fait qu’une fois sur deux y’a rien à mettre à jour et que quoi qu’il arrive, il ne retient pas les paramètres que tu lui donnes “NE PLUS ME FAIRE CHIER AVEC VOS TOOLBAR DE MERDE !!!”



(je sais qu’il ne s’agit pas que de java mais que adobe reader autres “indispensables” sont devenus avides d’installation de ces soit disantes toolbar (ask, babylon) qui sont en fait de véritables malware qui écrasent les configs sans retour arrière possible… moralité, chat échaudé… …n’installe plus les mises à jours)








von-block a écrit :



Tu dois avoir un très vieux PC ?



Même sur mon portable principale, un vieux Pentium M 1.6 ghz de 2004 la mise à jour prend moins de 5 minutes.





nop, machines recentes (et j’ai le truc sur 3 PC au moins)



en même temps, moi j’ai la fenetre windows “voulez vous installer java update”, pas un pop up made in java









june a écrit :



Y a-t-il encore un intérêt pour un particulier de laisser l’intégration dans un navigateur ? Quels sites ‘honnêtes’ réclament encore Java ?





J’ai une grosse liste de sites au taff qui nous obligent à avoir Java pour download/upload et signer numériquement des appels d’offres… Oui ça nous désole dans le service info (sans parler des bugs suite au MàJ ou alors certains sites pas à jour justement et qui bug aussi) <img data-src=" />



Pas évident quand on a des PC qui doivent avoir une version inférieure à la 6u35 sans quoi les applis ne fonctionnent pas… <img data-src=" />




La solution pour se prémunir contre cette menace est relativement simple : il suffit de mettre à jour votre version de Java si ce n’est pas déjà fait.



Et pour voter ? <img data-src=" />




La solution pour se prémunir contre cette menace est relativement simple : il suffit de mettre à jour votre version de Java si ce n’est pas déjà fait.





Le désinstaller, comme flash, ça marche aussi pas mal.

Après, faut avoir le choix et l’opportunité de le faire…








Winderly a écrit :



Et pour voter ? <img data-src=" />





Voter, c’est comme installer un malware à l’Élisée <img data-src=" />



Plus sérieusement, le vote électronique qui demande une version obsolète de Java est absolument aberrant…









Soltek a écrit :



J’ai une grosse liste de sites au taff qui nous obligent à avoir Java pour download/upload et signer numériquement des appels d’offres… Oui ça nous désole dans le service info (sans parler des bugs suite au MàJ ou alors certains sites pas à jour justement et qui bug aussi) <img data-src=" />





Idem, maintenir à jour JAVA/Flash player c’est la plaie monumentale au boulot. :(










kosame a écrit :



si tu dis oui tu attend 20min et au final il te dis qu’il n’y a pas de MaJ, tu dis non tu as tout de suite acces à ton PC <img data-src=" />







J’avais le même problème jusqu’à ce que je me rende compte que c’était le logiciel peerblock qui bloquait les IP des serveurs sur lesquels se trouvaient les fichiers de mises à jour … <img data-src=" />









CrazyCaro a écrit :



Pas évident quand on a des PC qui doivent avoir une version inférieure à la 6u35 sans quoi les applis ne fonctionnent pas… <img data-src=" />



Hé oui c’est pathétique mais les conséquences sur la prod’ sont énormes. Chacun ses priorités <img data-src=" />









CrazyCaro a écrit :



Pas évident quand on a des PC qui doivent avoir une version inférieure à la 6u35 sans quoi les applis ne fonctionnent pas… <img data-src=" />







C’est simple, mais ça demande de l’organisation :




  • restreindre l’usage (voire le paramétrage) d’un navigateur pour les usages “vieilles applets qui puent”

  • utiliser un autre navigateur avec le plugin désactivé



    L’idéal étant de forcer la main aux équipes responsables de ces applications… Ils vont chouiner, mais quelque part ça leur fait du boulot.



C’est bon IDA Pro ;)


Marrant, je suis justement en train de chercher une façon de forcer l’utilisation d’une version de Java en fonction du logiciel/navigateur demandé… enfin pour le moment c’est moyennement marrant…








CrazyCaro a écrit :



Pas évident quand on a des PC qui doivent avoir une version inférieure à la 6u35 sans quoi les applis ne fonctionnent pas… <img data-src=" />





Et avec IE 7, évidemment !





Une fois la faille exploitée, le malware s’installe et se copie automatiquement dans les dossiers de démarrage automatique de chaque système pour pouvoir être exécuté à chaque lancement de l’ordinateur.





Pour aue ce soit possible, il faut que la faille comprend une élévation de privilège ou bien que l’utilisateur utilise un navigateur internet avec un compte «administrateur».








lololasticot a écrit :



J’avais le même problème jusqu’à ce que je me rende compte que c’était le logiciel peerblock qui bloquait les IP des serveurs sur lesquels se trouvaient les fichiers de mises à jour … <img data-src=" />









Oh pu* !

Si ça se trouve, j’ai le même soucis … j’y ai même pas pensé <img data-src=" /><img data-src=" />



Le 29/01/2014 à 14h 18

Je n’ai java que pour Vuze.

Mais peu à peu java fera partie de l’histoire des déchets de l’informatique.








Zimt a écrit :



C’est bon IDA Pro ;)





Force est de reconnaître qu’il est le meilleur dans sa catégorie <img data-src=" />









uzak a écrit :



Et avec IE 7, évidemment !





Nan, ça marche avec FF au moins.



Mais bon… <img data-src=" />









Yzokras a écrit :



Je n’ai java que pour Vuze.

Mais peu à peu le plugin java fera partie de l’histoire des déchets de l’informatique.





<img data-src=" />



Tiens, ça me fait penser à un truc : bien que java à jour dans l’OS et désactivé dans le navigateur, pourquoi j’ai ça dans about:config : extensions.https_everywhere.Java : true ?








Zorglob a écrit :



Tiens, ça me fait penser à un truc : bien que java à jour dans l’OS et désactivé dans le navigateur, pourquoi j’ai ça dans about:config : extensions.https_everywhere.Java : true ?





C’est lié à l’extension https_everywhere qui force les connexions sécurisés.

Je pense que là c’est juste pour dire s’il faut aussi forcer les connexion des applets java ou pas C’est pas directement lié au plugin java.



Nan mais l’extension ok, je l’ai mise sciemment, c’est juste le fait de voir “java” alors que justement banni du navigateur, ça fait bizarre. M’enfin je pense effectivement que c’est ça (merci), et comme il ne verra pas d’applet fonctionner il ne sécurisera rien concernant java dans le browser…








tuorhuor a écrit :



Marrant, je suis justement en train de chercher une façon de forcer l’utilisation d’une version de Java en fonction du logiciel/navigateur demandé… enfin pour le moment c’est moyennement marrant…





C’est faisable.

Dans le classpath OS tu as moyen de définir par exemple pour forcer une jvm 1.4.2 :

## JVM = java142



Et si tu utilise webstart, tu peux indiquer dans le jnlp :

j2se version=“1.4”









von-block a écrit :



Je dois bien connaitre 2-3 personnes qui a chaque fois qu’ils voient le pop-up Java mise à jour ou flash, le ferme en me disant que c’est surement un virus ou une publicité indésirable. <img data-src=" />





Dans le fond ils ont pas forcément tort… J’ai rarement vu un logiciel ( ou usine à gaz ) avec autant de failles, on a le droit à un article tous les mois concernant des failles potentielles/avérées dessus.



très bon article, ( simple, court et résumant le news ), juste pour revient sur le truc de java , j’ai lu un article, qui parle sur les failles de java (sun) depuis son rachat par Oracle, le nombre de faille augment exponentiellement, et c’est une stratègie pour rendre cette technologie payante <img data-src=" /> ou pour favoriser autre



Comme j’ai ha^te que ce machin disparaisse. Mais bon entre le module FileStation de Synology DSM (nan pas le truc médicale <img data-src=" /> ) ou les Web GUI des HP Procurve…



c’est pas gagné.





(dans le même genre Flash requis pour VMware vSphere Web Client <img data-src=" /> )








kosame a écrit :



java et sa demande de mise a jour qui saoule a chaque demarrage windows? si tu dis oui tu attend 20min et au final il te dis qu’il n’y a pas de MaJ, tu dis non tu as tout de suite acces à ton PC <img data-src=" />



repetez après moi : le java c’est tabou, on en viendra tous a bout







En même temps si tu supprimes toutes les anciennes versions proprement et que tu réinstalles la Version 7 Update 51 qui est la dernière, tu n’auras plus de soucis…



<img data-src=" />









CrazyCaro a écrit :



Pas évident quand on a des PC qui doivent avoir une version inférieure à la 6u35 sans quoi les applis ne fonctionnent pas… <img data-src=" />







C’est quand même vraiment des branques d’avoir cassé la rétro-compatibilité avec Java 7…



Déjà que c’était en perte de vitesse, cela n’a pas dû arranger les choses



Java?? c quoi ca?

Ah oui c’est la passoire que j’ai viré ya 2 ans








june a écrit :



Y a-t-il encore un intérêt pour un particulier de laisser l’intégration dans un navigateur ? Quels sites ‘honnêtes’ réclament encore Java ?





Mes outils de cartographie en ligne (oui c’est du cloud sans le nom). Sinon Java est bloqué partout ailleurs.



C’est marrant d’ailleurs de voir des sites le réclamant alors que le web dev pouvait faire sans…









Zimt a écrit :



C’est bon IDA Pro ;)







Ah mais oui, je me disais bien que cette image me rappelait quelque chose<img data-src=" />







sooN a écrit :



Dans le fond ils ont pas forcément tort… J’ai rarement vu un logiciel ( ou usine à gaz ) avec autant de failles, on a le droit à un article tous les mois concernant des failles potentielles/avérées dessus.







Et nombre de malware se font passer pour des mises à jour de Flash/Java <img data-src=" />







Lion-Soul a écrit :



Java?? c quoi ca?

Ah oui c’est la passoire que j’ai viré ya 2 ans







Oh, cette remarque stupide <img data-src=" />

Le PLUGIN java est pourrit tout le monde devrait le savoir.



Mais incriminer un langage de programmation au niveau de la sécurité <img data-src=" />

On fait des bonnes applis en Java, des trucs utiles et mêmes sécurisés (pour peu que l’on aie affaire à un vrai dev <img data-src=" />)









sooN a écrit :



Dans le fond ils ont pas forcément tort… J’ai rarement vu un logiciel ( ou usine à gaz ) avec autant de failles, on a le droit à un article tous les mois concernant des failles potentielles/avérées dessus.







Le problème c’est qu’ils ont déjà installé le programme (en clickant oui partout j’imagine).



Pas faire les mise à jour ça fait mal dans ce cas. <img data-src=" />



L’avantage d’une distribution GNU/Linux c’est que la mise à jour de JAVA c’est juste un paquet parmi les autres. Ca se fait parmi toutes les autres mises à jours, en quelques secondes.



Y a juste un truc que j’ai pas compris. Admettons que l’admin d’une machine sous GNU/Linux ait refusé toutes les mises à jour recommandées régulièrement par l’OS, le malware ne contaminera que l’espace utilisateur ou bien il arrive à élever ses privilèges ?


Je me réponds à moi même: ce malware ne contient aucun exploit d’élévation de privilèges. Donc sous Linux, pour avoir des soucis il faut, pour le pékin moyen





  1. qu’il ait choisi d’utiliser le Java d’Oracle plutôt qu’ openJDK.

  2. puis qu’il ait refusé toutes les MAJ de son OS depuis 6 mois (!!! lol )

  3. puis qu’il se chope la vérole



    Ca fait quand même un concours de circonstances assez démentiel !

    Au final, ce bot n’aurait de toute façon pas la possibilité de contaminer d’autres users de la machine, ni celle de se lancer au démarrage (pas les droits admin pour modifier /etc/init.d ).



    Enfin pour régler le problème, une simple MAJ suffit. Bref, peut on vraiment penser que ce bot soit nocif sous des systèmes GNU/Linux ?