De makers van de populaire hackertool Metasploit hebben een nieuwe versie uitgebracht waarbij speciaal rekening is gehouden met spelers van het spel Minecraft. Hoewel Metasploit bedoeld is voor het testen van de veiligheid van systemen en netwerken in vooral zakelijke omgevingen, wordt de laatste tijd ook steeds vaker naar de consumentenkant gekeken.

Zo werden recentelijk exploits voor beveiligingslekken in thuisrouters toegevoegd, met het idee dat topbestuurders deze apparaten thuis gebruiken en daar ook kunnen worden aangevallen. De nieuwste Metasploit-versie bevat een exploit voor een Java-lek.

Dit lek kan niet alleen via de browser worden misbruikt, maar ook via Java-applets die gebruikers op hun computer openen. Een aanvaller kan zodoende een kwaadaardig Java-applet naar slachtoffers sturen dat zich voordoet als een 'Minecraft Hack Kit', maar in werkelijkheid malware installeert.

Browser
"Door Minecraft-spelers aan te vallen wordt de browservector vermeden", zegt Tod Beardsley van Rapid7, het beveiligingsbedrijf dat Metasploit ontwikkelt. "Ook wordt er ingespeeld op de neiging van mensen om niet-werk gerelateerde software op werkcomputers te installeren. Je slachtoffers zullen dus sowieso niet geliefd bij hun automatiseringsafdeling zijn."

Daarnaast zouden dit soort gebruikers eerder het advies om Java in de browser uit te schakelen negeren, aangezien ze denken dat dit impact op het spelen van Minecraft kan hebben, terwijl dit niet het geval is.

Het Java-lek in kwestie is inmiddels via Java 6 Update 43 of Java 7 Update 16 gepatcht, maar uit recent onderzoek blijkt dat veel gebruikers met onveilige Java-versies werken, ook binnen overheidsinstanties.