80% Java-gebruikers kwetsbaar voor nieuwe aanval
De meeste Java-gebruikers lopen groot risico om met malware besmet te raken, nu aanvallers een recent gepatcht beveiligingslek misbruiken. Via het lek dat in februari werd gepatcht, krijgt een aanvaller volledige controle over de computer zodra het slachtoffer een kwaadaardige of gehackte website bezoekt. Verdere interactie is niet vereist. Het gaat om kwetsbaarheid CVE-2012-0507, waar halverwege februari een update voor verscheen. Een exploit die misbruik van het lek maakt is inmiddels aan de Blackhole exploit-kit toegevoegd.
Blackhole is op dit moment de meest gebruikte exploit-kit door criminelen. De kit wordt op gehackte websites verstopt en controleert of bezoekers over de meest recente software beschikken. Is dit niet het geval, dan wordt er malware op de computer geïnstalleerd.
Volgens beveiligingsbedrijf Rapid7, eigenaar van hackertool Metasploit, gebruikt 60% tot 80% van de Java-gebruikers niet de meest recente versie. "Elke keer een exploit, zoals voor CVE-2012-0507, aan een populaire exploit-kit wordt toegevoegd, wordt het van een hypothetisch risico een een echt risico. Deze specifieke exploit wordt door de veel gebruikte Blackhole exploit-kit gebruikt", zegt onderzoeker Marcus Carey.
Patchgedrag
Gebaseerd op het patchgedrag van 28 miljoen unieke internetgebruikers, stelt Carey dat 60% tot 80% van de Java-gebruikers de laatste beveiligingsupdate, die CVE-2012-0507 verhelpt, missen. Over een langere periode bekeken blijkt dat 60% van de Java-installaties nooit up-to-date is. Daardoor werken ook oudere exploits prima om computers te infecteren.
Uit verder onderzoek blijkt dat de eerste maand na een Java-patch verschijnt, minder dan 10% van de gebruikers die installeert. Na twee maanden heeft ongeveer 20% de update uitgerold. Na drie maanden loopt het percentage op tot 30%. Het hoogste percentage van gepatchte installaties dat Rapid7 waarnam betrof 38%. Aangezien de laatste update een maand geleden verscheen, is de kans groot dat slechts 10% de belangrijke update geïnstalleerd heeft, merkt Carey op.
"Deze exploit is gister door MSE op me pc gevonden, gelijk verwijderd."
Heb je ook vastgesteld hoe het op je pc terecht is gekomen ? En heb je ook Java geupdate ?
Anders blijf je bezig ...
Dank voor je reactie !
Gr, Peter
Ben je soms pas op de website van Bart Smit geweest?
Volgens MSE wordt deze malware geinstalleerd met mijn WindowsXP met een oudere Acrobat reader 7.09:
exploit: Win32/Pdfjsr.RF
Trojan: Win32/EyeStye.C!cfg
Exploit: JS/Blacole.DG
Er is op deze PC GEEN java geinstalleerd, dus wellicht een beetje off-topic.
En nu ik toch off-topic ben: Waarom is er eigenlijk niks te vinden over de Bart Smit affaire op security.nl?
http://www.security.nl/artikel/40929/1/bartsmit.nl_ge%C3%AFnfecteerd%3F.html
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
