Les attaques ciblant une vulnérabilité non corrigée dans les dernières versions de Java 7 se sont multipliées après qu'un programme permettant de l'exploiter ait été intégré dans le toolkit Blackhole, selon les chercheurs en sécurité de Kaspersky. « Les premières régions touchées par les attaques Blakhole sont les Etats-Unis, la Fédération de Russie, la Biélorussie, l'Allemagne, l'Ukraine et la Moldavie", a précisé Kurt Baumgartner, chercheur senior chez Kaspersky.

Blackhole est l'une des boîtes à outils les plus utilisées par les pirates. Elle contient les programmes (« exploits » en anglais) leur permettant de mener à bien leurs attaques. Les cybercriminels l'utilisent pour infecter automatiquement les ordinateurs avec des séquences de code malveillantes lorsque leurs propriétaires visitent des sites web préalablement compromis. Blackhole est vendu sur le marché clandestin au sein d'un pack contenant toute une variété de codes d'attaque pour les vulnérabilités identifiées dans les plug-in de navigateurs (plug-in Java, Adobe Reader et Flash Player, notamment).

La faille clairement identifiée

Après la publication de cet « exploit » pour la dernière vulnérabilité découverte dans Java (maintenant identifiée comme CVE-2012-4681), de nombreux chercheurs en sécurité ont prévenu que les cybercriminels allait bientôt commencer à profiter de la faille à grande échelle. Les rumeurs selon lesquelles il avait été intégré dans Blackhole ont commencé à circuler hier matin après que son créateur ait posté une annonce à ce sujet sur un forum clandestin. « SophosLabs a vu des échantillons de l'exploit dans Blackhole et les analyse afin de déterminer s'ils fonctionnent réellement », a indiqué Chester Wisniewski, conseiller en sécurité chez l'éditeur d'antivirus Sophos.

Les chercheurs en sécurité du fournisseur antivirus ESET ont également confirmé par courriel à nos confrères d'IDG News Service que Blackhole comprenait désormais l'exploit. Un nouveau rapport de Kaspersky montre que non seulement ce dernier a été ajouté au toolkit, mais aussi que les utilisateurs de la boîte à outils avaient déjà commencé à s'en servir.

Rappel : les Mac et PC sous Linux ne sont pas à l'abri

La plupart des chercheurs en sécurité conseillent donc aux utilisateurs de désinstaller ou de désactiver le Web plug-in Java à partir de leurs navigateurs. « Oracle a besoin de renforcer Java et d'offrir un patch 'out-of-band' [NDLR : sans attendre la prochaine mise à jour] », a affirmé Baumgartner. « Peut-être que cet événement permettra à Oracle d'intensifier leur processus de mise à jour de sécurité ». Les utilisateurs d'ordinateurs sous Mac OS X ou Linux ne sont pas à l'abride cette faille de sécurité.
(mise à jour) - Le 31 août 2012 : Oracle livre un patch critique pour Java 7