L’éditeur de solutions de sécurité Kaspersky avertit sur son blog d’un nouveau malware utilisant une faille de la machine virtuelle Java. Même si la brèche a déjà été colmatée, nombreux sont les ordinateurs à posséder une ancienne mouture, ce qui rend la menace potentiellement sérieuse.
Une faille corrigée depuis juin 2013...
Selon Kaspersky, le malware HEUR:Backdoor.Java.Agent.a est suffisamment dangereux pour justifier une alerte. Il utilise une faille Java que l’on peut trouver dans la version 7 Update 21 et toutes les moutures antérieures. Dans la pratique, cette vulnérabilité a été corrigée en juin dernier, mais le processus de mise à jour automatique n’est non seulement pas activé chez tous les utilisateurs, mais beaucoup remettent cette opération à plus tard, se contentant de rejeter l’avertissement quand il apparaît à l’écran.
Comme expliqué sur le blog de Kaspersky, l’exploitation peut se faire à travers des graphismes vectoriels spécialement conçus et placés au sein d’une page web. Le problème de cette faille est qu’elle est disponible potentiellement sur la totalité des systèmes d’exploitation où Java peut être installé, autrement dit Windows, OS X et Linux pour les trois plus importants.
... mais qui peut quand même provoquer des dégâts
Une fois la faille exploitée, le malware s’installe et se copie automatiquement dans les dossiers de démarrage automatique de chaque système pour pouvoir être exécuté à chaque lancement de l’ordinateur. Il communique ensuite avec un canal IRC par lequel il va recevoir les instructions du serveur Command & Control (C&C). Toujours selon Kaspersky, le malware est écrit lui-même en Java et a été conçu pour relayer des commandes d’attaques par déni de service (DDoS). Il intègre même PircBot, une API IRC elle aussi basée sur Java.
La solution pour se prémunir contre cette menace est relativement simple : il suffit de mettre à jour votre version de Java si ce n’est pas déjà fait. Si vous possédez la mouture la plus récente, à savoir Java 7 Update 51, vous n’avez donc rien de particulier à faire. Notez que si Java ne vous sert pas, il est également possible de le désinstaller. Si vous vous en servez pour d’autres besoins, notamment dans le cas du jeu Minecraft, il est possible d’aller dans les réglages Java et de désactiver l’intégration dans le navigateur. De cette manière, les failles ne pourront pas être exploitées par des sites.
Commentaires (40)
#1
Y a-t-il encore un intérêt pour un particulier de laisser l’intégration dans un navigateur ? Quels sites ‘honnêtes’ réclament encore Java ?
#2
Ca faisait longtemps tiens!
#3
java et sa demande de mise a jour qui saoule a chaque demarrage windows? si tu dis oui tu attend 20min et au final il te dis qu’il n’y a pas de MaJ, tu dis non tu as tout de suite acces à ton PC " />
repetez après moi : le java c’est tabou, on en viendra tous a bout
#4
Je dois bien connaitre 2-3 personnes qui a chaque fois qu’ils voient le pop-up Java mise à jour ou flash, le ferme en me disant que c’est surement un virus ou une publicité indésirable. " />
#5
#6
“mais beaucoup remettent cette opération à plus tard, se contentant de rejeter l’avertissement quand il apparaît à l’écran.”
et après, que ce soit java ou ses copains, le fait qu’une fois sur deux y’a rien à mettre à jour et que quoi qu’il arrive, il ne retient pas les paramètres que tu lui donnes “NE PLUS ME FAIRE CHIER AVEC VOS TOOLBAR DE MERDE !!!”
(je sais qu’il ne s’agit pas que de java mais que adobe reader autres “indispensables” sont devenus avides d’installation de ces soit disantes toolbar (ask, babylon) qui sont en fait de véritables malware qui écrasent les configs sans retour arrière possible… moralité, chat échaudé… …n’installe plus les mises à jours)
#7
#8
#9
Pas évident quand on a des PC qui doivent avoir une version inférieure à la 6u35 sans quoi les applis ne fonctionnent pas… " />
#10
La solution pour se prémunir contre cette menace est relativement simple : il suffit de mettre à jour votre version de Java si ce n’est pas déjà fait.
Et pour voter ? " />
#11
La solution pour se prémunir contre cette menace est relativement simple : il suffit de mettre à jour votre version de Java si ce n’est pas déjà fait.
Le désinstaller, comme flash, ça marche aussi pas mal.
Après, faut avoir le choix et l’opportunité de le faire…
#12
#13
#14
#15
#16
#17
C’est bon IDA Pro ;)
#18
Marrant, je suis justement en train de chercher une façon de forcer l’utilisation d’une version de Java en fonction du logiciel/navigateur demandé… enfin pour le moment c’est moyennement marrant…
#19
#20
Une fois la faille exploitée, le malware s’installe et se copie automatiquement dans les dossiers de démarrage automatique de chaque système pour pouvoir être exécuté à chaque lancement de l’ordinateur.
Pour aue ce soit possible, il faut que la faille comprend une élévation de privilège ou bien que l’utilisateur utilise un navigateur internet avec un compte «administrateur».
#21
#22
Je n’ai java que pour Vuze.
Mais peu à peu java fera partie de l’histoire des déchets de l’informatique.
#23
#24
#25
#26
Tiens, ça me fait penser à un truc : bien que java à jour dans l’OS et désactivé dans le navigateur, pourquoi j’ai ça dans about:config : extensions.https_everywhere.Java : true ?
#27
#28
Nan mais l’extension ok, je l’ai mise sciemment, c’est juste le fait de voir “java” alors que justement banni du navigateur, ça fait bizarre. M’enfin je pense effectivement que c’est ça (merci), et comme il ne verra pas d’applet fonctionner il ne sécurisera rien concernant java dans le browser…
#29
#30
#31
très bon article, ( simple, court et résumant le news ), juste pour revient sur le truc de java , j’ai lu un article, qui parle sur les failles de java (sun) depuis son rachat par Oracle, le nombre de faille augment exponentiellement, et c’est une stratègie pour rendre cette technologie payante " /> ou pour favoriser autre
#32
Comme j’ai ha^te que ce machin disparaisse. Mais bon entre le module FileStation de Synology DSM (nan pas le truc médicale " /> ) ou les Web GUI des HP Procurve…
c’est pas gagné.
(dans le même genre Flash requis pour VMware vSphere Web Client " /> )
#33
#34
#35
Java?? c quoi ca?
Ah oui c’est la passoire que j’ai viré ya 2 ans
#36
#37
#38
#39
L’avantage d’une distribution GNU/Linux c’est que la mise à jour de JAVA c’est juste un paquet parmi les autres. Ca se fait parmi toutes les autres mises à jours, en quelques secondes.
Y a juste un truc que j’ai pas compris. Admettons que l’admin d’une machine sous GNU/Linux ait refusé toutes les mises à jour recommandées régulièrement par l’OS, le malware ne contaminera que l’espace utilisateur ou bien il arrive à élever ses privilèges ?
#40
Je me réponds à moi même: ce malware ne contient aucun exploit d’élévation de privilèges. Donc sous Linux, pour avoir des soucis il faut, pour le pékin moyen
Ca fait quand même un concours de circonstances assez démentiel !
Au final, ce bot n’aurait de toute façon pas la possibilité de contaminer d’autres users de la machine, ni celle de se lancer au démarrage (pas les droits admin pour modifier /etc/init.d ).
Enfin pour régler le problème, une simple MAJ suffit. Bref, peut on vraiment penser que ce bot soit nocif sous des systèmes GNU/Linux ?