De makers van de populaire hackertool Metasploit hebben een aanval voor een recent gepatcht Java-lek zo verfijnd dat ongepatchte gebruikers volledig stil geïnfecteerd worden. Het gaat om de kwetsbaarheid waar Oracle op 1 februari een noodpatch voor uitbracht. De exploit zou inmiddels ook aan de Cool EK exploit-kit zijn toegevoegd die cybercriminelen gebruiken.

Beveiligingsniveau
Via exploit-kits worden internetgebruikers met onveilige browserplug-ins, waaronder Java, automatisch met malware geïnfecteerd zodra ze een gehackte of kwaadaardige website bezoeken, of er 'besmette' advertenties worden getoond. Oracle had met Java 7 Update 10 een nieuwe beveiligingsmaatregel ingevoerd waardoor ongesigneerde Java-applets een waarschuwing veroorzaken.

De gebruiker moet bewust ervoor kiezen om het Java-applet uit te voeren, wat enige social engineering vereist. In het geval van de Cool EK exploit-kit worden gebruikers inderdaad met een waarschuwingsvenster geconfronteerd en vindt de infectie niet meer in de achtergrond plaats.

De Poolse beveiligingsonderzoeker Adam Gowdiak had na de invoering van de maatregel laten weten dat die te omzeilen was, zodat aanvallers nog steeds zonder enige gebruikersinteractie kwaadaardige Java-applets konden uitvoeren.

Automatisch
Deze 'Security Control bypass' is nog niet in het wild gedetecteerd, maar is nu toch voor iedereen toegankelijk. De makers van Metasploit hebben de Security Control bypass namelijk gecombineerd met een exploit voor Java 7 Update 11.

Ongepatchte gebruikers krijgen hierdoor geen waarschuwing meer, maar worden wel automatisch geïnfecteerd. Metasploit is een 'framework' voor security professionals en penetratietesters om de veiligheid van netwerken en systemen te testen.

De gebruikte exploits worden in sommige gevallen ook door cybercriminelen overgenomen. Vorig jaar liet beveiligingsbedrijf iSec Partners nog zien dat de populairste exploits die op dit moment door cybercriminelen worden gebruikt van beveiligingsonderzoekers afkomstig zijn.