Vulnérabilité 0-Day : Exploit.Java.CVE-2012-4681

Un billet concernant la nouvelle vulnérabilité 0-Day qui fait couler beaucoup d’encre ces derniers jours : CVE-2012-4681
Cela fera aussi suite à cette discussion : http://www.malekal.com/2012/08/23/sakura-exploitkit-1-1-panel/#comment-4184

Pour rappel une vulnérabilité 0-Day est une vulnérabilité qui ne possède pas de correctif.
Ce qui vous l’avez compris pose de gros problèmes de sécurités.

Celle a été utilisée pour la première fois dans un kit Chinois, vous trouverez des détails sur la page suivante : http://www.kahusecurity.com/2012/java-0-day-using-latest-dadongs-js-obfuscator/
Ainsi qu’une explication du fonctionnement de la vulnérabilité à la page suivante : http://immunityproducts.blogspot.fr/2012/08/java-0day-analysis-cve-2012-4681.html

Bien entendu, d’autres éditeurs d’ExploitKit ont ajouté rapidement un Exploit dans leurs propres kits et c’est notamment le cas de très connus BlackHole.
Kafeine a fait une capture de l’annonce par l’auteur et d’un jar tirant partie de cette vulnérabilité : http://malware.dontneedcoffee.com/2012/08/java-0day-cve-2012-4681-update.html

Tout à l’heure je suis tombé sur un kit qui tire partie de la vulnérabilité CVE-2012-4681 : http://www3.malekal.com/malwares/index.php?hash=49042479a384139296f6783508acab84

https://www.virustotal.com/file/efb0201e3778e7985f35ba086369348be91dd22a0586b67d01b8fc92b1855ec3/analysis/

SHA256: efb0201e3778e7985f35ba086369348be91dd22a0586b67d01b8fc92b1855ec3
File name: lwmahvcbmonozc-a.mpsxnmpvjvldfp.jar
Detection ratio: 9 / 42
Analysis date: 2012-08-29 14:20:11 UTC ( 1 heure, 48 minutes ago )
AntiVir EXP/CVE-2012-1723.ER 20120829
Comodo TrojWare.Win32.Kryptik.ADFE 20120829
DrWeb Exploit.CVE2012-1723.13 20120829
Fortinet W32/FakeAV.KLC!tr 20120829
Kaspersky HEUR:Exploit.Java.CVE-2012-4681.gen 20120829
Norman W32/FakeAV.BGUS 20120829
PCTools Trojan.Maljava 20120829
Sophos Troj/JavaDl-NZ 20120829
Symantec Trojan.Maljava!gen23 20120829
Ce jar est assez interressant car il embarque directement le PE, d’où le fait, que les antivirus donnent des détections en W32/FakeAV – le PE étant un dropper pour le scareware Security Shield – 9 / 42 : https://www.virustotal.com/file/ea25351bb38f548f4c3ce9ccecfbe7c0515533d81ba060888057cc8d0dbc8c5c/analysis/ – ça va encore 🙂

On retrouve dans ce Jar la fonction qui désactive le Security Manager utile dans l’exploitation de la vulnérabilité.

source : http://pastie.org/4594319

 

Selon la période et l’ancienneté de la vulnérabilité, on peux infecter du 5% à 10% des machines.
Voir par exemple les captures de la page suivante : http://www.malekal.com/2011/11/30/blackhole-exploit-webkit-presentation/

C’est donc une course contre la montre pour les éditeurs d’ExploitKit pour intégrer cette nouvelle vulnérabilité avant qu’un patch correctif soit diffusé.
La vulnérabilité étant assez facile à exploiter et le code étant diffusé, on peux aussi s’attendre à ce que les infections tenues par des gens qui n’ont pas assez à l’underground ou qui sont moins douées arrivent tout de même à en tirer parteur. Je pense notamment aux auteurs de Rat.

Java est devenu un vecteur très important d’Exploit depuis l’année dernière au détriment des produits Adobe.
J’en avais déjà parlé à travers ces billets :

Il semblerait que ce n’est pas prêt de finir.

En attendant un correctif, vous pouvez désactiver Java – sur Firefox il suffit de désactiver le Plugin : Menu Outils / Modules Complémentaires et onglet Plugins.
Vous pouvez aussi utiliser NoScript : Sécuriser le navigateur Firefox.

 

Sur Google Chrome, rendez-vous à l’adresse : chrome://settings/content
Dans la partie Plug-ins, cliquez sur Désactiver les plugins individuels.


Dans la liste, sur Java, cliquez sur Désactiver.

Par la suite, pensez à maintenir vos logiciels à jour.

EDIT 30 Août

Mise à jour disponible pour la vulnérabilité CVE-2012-4681 => http://www.java.com/fr/
Le bulletin de sécurité Oracle : http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html

A appliquer d’urgence !

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 43 times, 1 visits today)

2 thoughts on “Vulnérabilité 0-Day : Exploit.Java.CVE-2012-4681

  1. Thanks for every other informative blog. Where else could I get that kind of info wreittn in such an ideal approach? I have a challenge that I am simply now working on, and I have been on the look out for such information.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *