Aanvalscode voor een redelijk vers Java-lek is aan een beruchte exploit-kit voor cybercriminelen toegevoegd, waardoor miljoenen Java-gebruikers risico lopen. Het gaat om CVE-2012-1723, wat een ernstig lek in Java is dat Oracle op 12 juni patchte. Onlangs werd een aanval waargenomen waarbij een computer via dit lek was geïnfecteerd. De aanval houdt mogelijk verband met een exploit die Michael ‘mihi’ Schierl in juni publiceerde.

Misbruik van het lek zal echter een vogelvlucht nemen nu een exploit voor CVE-2012-1723 ook aan de Blackhole exploit-kit wordt toegevoegd, zo ontdekte IT-journalist Brian Krebs. Hij nam contact op met de aanbieder van deze exploit-kit om te achterhalen of de ontdekte aanval iets met Blackhole te maken had.

Volgens de leverancier is de exploit voor het Java-lek alleen in een zeer beperkte kring gedeeld en gebruikt. Wel zal de exploit aan een update voor Blackhole worden toegevoegd, die voor 8 juli gepland staat. Alle betalende Blackhole-gebruikers beschikken daarmee over een krachtige exploit om internetgebruikers te infecteren.

Blackhole
De Blackhole-exploitkit is een programma dat cybercriminelen op gehackte websites gebruiken. Op de gehackte website wordt een link naar een pagina geplaatst waarop Blackhole draait. Zodra internetgebruikers de gehackte website bezoeken, worden ze onzichtbaar voor het oog naar de website met Blackhole doorgestuurd. Het programma controleert of de bezoeker over de meest recente versie van geinstalleerde software en browser plug-ins beschikt. Is dit niet het geval, dan wordt er automatisch en onzichtbaar malware geïnstalleerd, ook wel een drive-by download genoemd.

Java is al geruime tijd de favoriete software voor cybercriminelen om internetgebruikers te infecteren, omdat veel gebruikers updates niet installeren. Door programma's als Blackhole is het voor cybercriminelen niet meer nodig om uitgebreide kennis van exploits en dergelijke te hebben, waardoor een veel grotere groep in staat is om internetgebruikers via drive-by downloads te infecteren.

Java
Volgens beveiligingsbedrijf Rapid7, eigenaar van hackertool Metasploit, gebruikt 60% tot 80% van de Java-gebruikers niet de meest recente versie. Gebaseerd op het patchgedrag van 28 miljoen unieke internetgebruikers, stelde onderzoeker Marcus Carey in maart dat 60% tot 80% van de Java-gebruikers de laatste beveiligingsupdate mist.

Over een langere periode bekeken blijkt dat 60% van de Java-installaties nooit up-to-date is. Daardoor werken ook oudere exploits prima om computers te infecteren.