Le gang qui se cache derrière les dernières attaques zero-day Java ne semble pas en avoir terminé.
Un chercheur qui examine un des serveurs utilisés pour lancer des attaques contre les installations Java vulnérables dit qu’il a trouvé un nouvel exploit zero-day dans le navigateur de Microsoft Internet Explorer.
Le nouvel exploit «zero-day» peut être utilisé pour charger des logiciels malveillants sur les ordinateurs exécutant Windows XP SP3 parfaitement mis à jour avec les dernières versions de navigateur IE 7, IE 8 et le logiciel Flash d’Adobe, a déclaré Eric Romang, qui a découvert la vulnérabilité.
Une analyse plus approfondie par le cabinet AlienVault pense que le zero-day est utilisé dans des attaques qui installent le cheval de Troie Poison Ivy.
Dans un billet de blog, Romang, un conseiller en sécurité IT chez ZATAZ.com basé au Luxembourg, a dit qu’il a découvert l’exploit lors de l’analyse d’un lot de fichiers hébergés sur l’un des serveurs utilisés par le gang Nitro pour distribuer les attaques qui ont exploité la vulnérabilité de Java.
Après l’exécution de l’un des exemples de fichiers sur un système Windows XP SP3 avec une version à jour d’Adobe Flash, Romang a été surpris de constater que les fichiers chargeaient les logiciels malveillants sur son système XP entièrement mis à jour.
Une analyse plus poussée a révélé que .html et Flash ont été utilisés pour identifier des cibles appropriées (Windows XP exécutant IE 7 et 8). Une technique commune appelée “heap spray” est utilisée pour attaquer les systèmes iFrame vulnérables et pour installer un programme malveillant, le 111.exe.
Les logiciels malveillants ont été identifiés comme une nouvelle variante du cheval de Troie Poison Ivy , selon la société de sécurité AlienVault Labs.
Sur le blog AlienVault Labs, le chercheur Jaime Blasco a déclaré que le gang qui se cache derrière les attaques Java d’Août et Septembre pourraient sévir à nouveau avec des attaques plus puissantes.
Oracle a publié un correctif d’urgence pour la vulnérabilité dans Java le 30 Août, mais les chercheurs ont montré ensuite que le patch pourrait être contourné.
Romang a écrit que le nouvel exploit IE est mise en œuvre dans l’outil de test de pénétration Metasploit et un module qui permet aux utilisateurs de lancer Metasploit IE 7 et IE8 exploit est attendue d’ici lundi.
Les solutions Sophos détectent les logiciels malveillants en utilisant l’exploit d’Internet Explorer sous le nom Troj/SWFDL-G, Troj/SWFDL-H et le nom de Troj/SWFDL-je.
http://forms.aweber.com/form/80/286036380.js
Crédit Paul Roberts de Naked Security – Voir le post original.