La technologie Java a été de nombreuses fois la cible de malwares à cause de failles non corrigées, engendrant une polémique autour de sa sécurité. L’omniprésence de Java est une nouvelle fois en ligne de mire, mais le produit d’Oracle n’est pas seul cette fois car c’est bien le réseau publicitaire de Yahoo qui a été utilisé comme vecteur principal.
Yahoo.com comme vecteur de publicités infectées
Java est une technologie en perte de vitesse dans le paysage web et reste connue aujourd’hui que de quelques joueurs via les titres qui l’utilisent, à l’instar de Minecraft. Plusieurs fois au centre d’interrogations sur la sécurité informatique, le produit racheté par Oracle en même temps que Sun en 2009 a été pointé du doigt ces dernières années pour un manque de réactivité sur les corrections des failles. Sa présence sur de très nombreuses machines l’a rendu particulièrement attractif pour les pirates qui y cherchent autant de failles que possible.
Alors que la sécurité de Java fait actuellement l’objet de très gros travaux chez Oracle, un nouveau problème relance la polémique, qui se permet d’être double cette fois. Car non seulement ces nouvelles attaques se basent bien sur des failles Java, mais elles sont automatisées par une diffusion dans le système publicitaire de Yahoo.
C’est la société Fox IT qui est à l’origine de la découverte. Dans un billet datant de vendredi, elle explique avoir détecté une infection de ses machines après une visite automatisée du site Yahoo.com. Après analyse du problème, il s’est avéré que plusieurs publicités diffusées par Yahoo elle-même étaient vérolées, le système publicitaire devenant alors un vecteur.
Une détection automatisée des failles Java
Seule une partie des publicités s’est avérée problématique, mais toutes provenaient bien de la même adresse : ads.yahoo.com. Dans le cas d’une publicité contenant un malware, le contenu se présente en fait sous la forme d’un iframe hébergé sur l’un des cinq domaines suivants : blistartoncom.org, slaptonitkons.net, original-filmsonline.com, funnyboobsonline.org, yagerass.org. Il n’est pas nécessaire de cliquer sur la publicité pour déclencher les hostilités : si l’une des failles Java est présente, son seul affichage est suffisant.
Pour vérifier qu’une exploitation est possible, l’utilisateur est automatiquement redirigé vers le kit d’exploitation Magnitude via HTTP, sur un sous-domaine tel que boxsdiscussing.net, crisisreverse.net, ou limitingbeyond.net. Tous ces sous-domaines présentent d’ailleurs tous la même adresse IP, 193.169.245.78, hébergée aux Pays-Bas. À partir de là, Magnitude se charge d’examiner la configuration Java de la machine de l’utilisateur. Si l’une des failles prises en charge est détectée, plusieurs malwares peuvent être installés, parmi lesquels ZeuS, Andromeda, Dorkbot/Ngrbot, Tinba/Zusy ou encore Necurs. Et si la mention de Zeus vous rappelle quelque chose, c’est qu’un botnet de 100 000 machines infectées avait été détruit en 2009, potentiellement par un groupe concurrent de pirates.
Jusqu'à 27 000 machines contaminées par heure
L’infection n’aurait pas commencé avant le 30 décembre dernier, ce qui est donc très récent. Une information qui n’est pas étonnante puisqu’une infection de cette ampleur aurait nécessairement été détectée dans les jours qui suivaient. Mais de quelle ampleur parle-t-on au juste ? Selon Fox IT, le nombre de visites sur Yahoo.com est d’environ 300 000 par heure. Sur ce chiffre, l’entreprise a appliqué un taux d’infection décrit comme « typique » de 9 %, aboutissant ainsi à 27 000 infections de machines par heure.
Actuellement, les trois pays les plus touchés par cette infection de masse sont le Royaume-Uni, la Roumanie et … la France. Fox IT n’explique pas clairement pourquoi ces trois sont plus concernés que les autres, mais suppose que cela tient à la configuration des publicités infectées, donc à une volonté des pirates qui se tiennent derrière l’attaque. Pour Fox IT, la motivation est certainement financière et rappelle celle de php.net en octobre 2013.
Se protéger contre ce type d'attaque
Mais comment se prémunir contre cette attaque ? Tout d’abord, Yahoo est au courant de l’attaque et le trafic vers le kit d’exploitation a très largement diminué. Ensuite, il est possible de prendre deux mesures pour bloquer toute opportunité de contamination. D’une part, bloquer les sous-réseaux suivants :
- 192.133.137/24
- 192.169.245/24
D’autre part, changer une option dans la configuration Java. Il est en effet possible de garder l’installation en place, par exemple dans le cas où vous êtes un joueur de Minecraft, sans pour autant que le module soit actif dans les navigateurs. Rendez-vous pour cela dans la configuration de Java (accessible depuis les panneaux de configuration de chaque système d’exploitation) :
Dans l’onglet Sécurité, décochez la case « Activer le contenu Java dans le navigateur », ce qui bloquera toute lecture de contenu Java durant une session de surf.
