Een recent gepatcht beveiligingslek in Java is een grote hit bij cybercriminelen. Alle populaire exploit-kits hebben de Java Atomic-exploit aan hun arsenaal toegevoegd. Exploit-kits misbruiken verschillende kwetsbaarheden in populaire programma's, zoals Java, Adobe Reader en Flash Player. Cybercriminelen plaatsen op gehackte websites een linkje naar de exploit-kit. Zodra een internetgebruiker de website bezoekt, wordt gecontroleerd of hij verouderde software gebruikt. Is dit het geval, dan wordt er via de exploit en zonder enige gebruikersinteractie malware geïnstalleerd.

Oracle bracht halverwege februari een patch voor het lek uit, Apple volgde dinsdag. Onlangs werd bekend dat de Atomic-exploit aan de Blackhole exploit-kit was toegevoegd en nu zijn ook de makers van de Eleonore exploit-kit, Incognito exploit-pack en Phoenix exploit-kit gevolgd. Dat blijkt uit een overzicht dat beveiligingsonderzoekster Mila Parkour samenstelde. Ook de Oracle Java Rhino-exploit, voor een Java-lek uit oktober, is zeer populair.

1-day exploit
Via de exploit-kits hoeven cybercriminelen niet zelf meer de kennis te hebben om een exploit te ontwikkelen, maar kunnen ze hier kant-en-klare software voor gebruiken. Volgens David Harley van anti-virusbedrijf ESET laten de Java-exploits zien dat het niet nodig is om kostbare zero-day exploits toe te voegen. Voor zero-day kwetsbaarheden zijn nog geen patches beschikbaar. Vanwege hun waarde worden ze meestal tegen waardevolle doelen ingezet, zoals defensiebedrijven en overheidsinstanties, en niet tegen consumenten.

"Maar tussen de 1-day exploits, exploits gebaseerd op het analyseren van gepatchte software om te zien welke lekken gepatcht zijn, zijn Java-lekken het favoriete doelwit. Dit is de meest effectieve manier om de systemen van eindgebruikers te infecteren en is soms over meerdere platformen effectief", stelt Harley.