Nieuwe Java-aanval aan cybercrime-toolkit toegevoegd
Aanvalscode voor een redelijk vers Java-lek is aan een beruchte exploit-kit voor cybercriminelen toegevoegd, waardoor miljoenen Java-gebruikers risico lopen. Het gaat om CVE-2012-1723, wat een ernstig lek in Java is dat Oracle op 12 juni patchte. Onlangs werd een aanval waargenomen waarbij een computer via dit lek was geïnfecteerd. De aanval houdt mogelijk verband met eenexploit die Michael ‘mihi’ Schierl in juni publiceerde.
Misbruik van het lek zal echter een vogelvlucht nemen nu een exploit voor CVE-2012-1723 ook aan de Blackhole exploit-kit wordt toegevoegd, zo ontdekte IT-journalist Brian Krebs. Hij nam contact op met de aanbieder van deze exploit-kit om te achterhalen of de ontdekte aanval iets met Blackhole te maken had.
Volgens de leverancier is de exploit voor het Java-lek alleen in een zeer beperkte kring gedeeld en gebruikt. Wel zal de exploit aan een update voor Blackhole worden toegevoegd, die voor 8 juli gepland staat. Alle betalende Blackhole-gebruikers beschikken daarmee over een krachtige exploit om internetgebruikers te infecteren.
Blackhole
De Blackhole-exploitkit is een programma dat cybercriminelen op gehackte websites gebruiken. Op de gehackte website wordt een link naar een pagina geplaatst waarop Blackhole draait. Zodra internetgebruikers de gehackte website bezoeken, worden ze onzichtbaar voor het oog naar de website met Blackhole doorgestuurd. Het programma controleert of de bezoeker over de meest recente versie van geinstalleerde software en browser plug-ins beschikt. Is dit niet het geval, dan wordt er automatisch en onzichtbaar malware geïnstalleerd, ook wel een drive-by download genoemd.
Java is al geruime tijd de favoriete software voor cybercriminelen om internetgebruikers te infecteren, omdat veel gebruikers updates niet installeren. Door programma's als Blackhole is het voor cybercriminelen niet meer nodig om uitgebreide kennis van exploits en dergelijke te hebben, waardoor een veel grotere groep in staat is om internetgebruikers via drive-by downloads te infecteren.
Java
Volgens beveiligingsbedrijf Rapid7, eigenaar van hackertool Metasploit, gebruikt 60% tot 80% van de Java-gebruikers niet de meest recente versie. Gebaseerd op het patchgedrag van 28 miljoen unieke internetgebruikers, stelde onderzoeker Marcus Carey in maart dat 60% tot 80% van de Java-gebruikers de laatste beveiligingsupdate mist.
Over een langere periode bekeken blijkt dat 60% van de Java-installaties nooit up-to-date is. Daardoor werken ook oudere exploits prima om computers te infecteren.
bron: Security.nl
Een populaire toolkit voor cybercriminelen gebruikt een truc die ook botnetbeheerders regelmatig toepassen om langer operationeel te blijven. De Blackhole exploit-kit bevat allerlei exploits voor lekken in populaire plug-ins zoals Java, Adobe Reader en Flash Player. Op gehackte websites plaatsen de aanvallers een iframe die naar een pagina met de Blackhole exploit-kit wijst. Zodra een internetgebruiker de gehackte website met verouderde software bezoekt, wordt er via het verborgen iframe automatisch vanaf de gelinkte website waarop Blackhole actief is een exploit geladen en uitgevoerd, met als gevolg malware op de computer. 
Een zelfbenoemde 'Nerd' en beveiligingsonderzoeker heeft een DoS-tool ontwikkeld om webservers mee plat te leggen. Volgens Barry Shteiman is het probleem met veel bestaande programma's die een Denial of Service (DoS) moeten veroorzaken, dat ze een voorspel patroon genereren. Daardoor is het mogelijk om een aanval te detecteren en af te slaan. Shteiman besloot voor onderzoeksdoeleinden zijn kennis van DoS-tools te gebruiken om de Http Unbearable Load King (HULK) te ontwikkelen.