Faille dans l’installeur Java : une histoire de DLL

C’est le correctif auquel on ne s’attendait pas… et il est appliqué par Oracle à l’environnement Java pour les systèmes Windows.

Sur le papier, la faille est suffisamment critique (notée 7,6/10 dans l’échelle CVSS) pour justifier l’émission d’un bulletin de sécurité en dehors du cycle habituel.

Référencée CVE-2016-0603, elle a la particularité de ne pas concerner les utilisateurs qui disposent déjà de Java sur leur poste de travail. Et pour cause : la vulnérabilité se trouve dans l’installeur.

Ce dernier recherche, lors de l’exécution, plusieurs bibliothèques logicielles (les DLL, pour « Dynamic Link Libraries ») qui vont l’aider à finaliser l’installation de Java.

À titre d’exemple, l’installeur hors ligne de Java SE 8 Update 66 (jre-8u66-windows-586.exe) appelle UXTheme.dll, RASAdHlp.dll, NTMarta.dll, Secur32.dll, WinHTTP.dll, NetUtils.dll, ProfAPI.dll et WindowsCodecs.dll.

Si un tiers parvient à remplacer l’une de ces bibliothèques par du code malveillant*, il peut, en théorie, prendre le contrôle d’un ordinateur à distance, sans authentification.

Ce type de faille est connu et largement documenté. Il tire parti du fait que les fichiers téléchargés avec un navigateur Web sont souvent stockés dans le dossier « Téléchargements » (« Downloads » sur les systèmes en langue anglaise).

Mais aussi du fait que lorsque Windows cherche une DLL, il parcourt les dossiers dans un certain ordre. Dès lors, le premier fichier qui correspond au nom recherché est sélectionné.

Ce qui signifie que si quelqu’un arrive à placer une « fausse » DLL dans un répertoire parcouru avant celui qui contient la « vraie » DLL, le code malveillant est exécuté.

Les principales versions desktop de Windows donnent la priorité au dossier où se trouve l’exécutable… C’est-à-dire, très fréquemment, « Téléchargements ».

Les utilisateurs dont le navigateur est paramétré pour télécharger des fichiers sans demander de confirmation sont encore plus exposés (en sachant par ailleurs qu’il existe des techniques pour contourner cette vérification, comme le clickjacking). Surtout s’ils exécutent des applications directement depuis leur gestionnaire de téléchargements.

Oracle avait corrigé une vulnérabilité du même type (CVE-2016-0602 ; 6,2 sur l’échelle CVSS) dans son Critical Patch Update du mois de janvier. L’installeur touché était celui de VirtualBox, qui appelle différentes DLL – compilées par SecureList – selon la version de Windows.

* Le téléchargement d’une DLL malveillante suppose que la victime se rendre sur un site Web malveillant. On notera que les installeurs Java SE Advanced Enterprise ne sont pas concernés.

Crédit photo : Kamira – Shutterstock.com