Er is een update voor de populaire hackertoolkit Metasploit uitgekomen die een exploit voor de beruchte Poison Ivy backdoor bevat. Poison Ivy is een remote administration tool / remote access Trojan (RAT) die onder andere bij gerichte aanvallen wordt gebruikt. De malware (Gifsumak) verspreidt zich via beveiligingslekken in software, phishingmails en wordt gebundeld met andere software.

De malware werd actief tot begin 2008 ontwikkeld, waarna de ontwikkeling stopte. Regelmatig duikt Poison Ivy nog op als het gaat om cyberspionage. Zo was ook beveiligingsbedrijf RSA het doelwit van een Poison Ivy-variant. Microsoft besloot Poison Ivy vorig jaar door de in Windows ingebouwde Malicious Software Removal Tool (MSRT) te laten detecteren.

Backdoor
Metasploit wordt door security professionals gebruikt om de veiligheid van systemen en netwerken te testen. "De update van deze week bevat iets bijzonders, een exploit voor Poison Ivy", zegt Tod Beardsley van Rapid7, het bedrijf dat Metasploit ontwikkelt en aanbiedt. De exploit misbruikt een beveiligingslek in Poison Ivy 2.3.2. Aangezien dit de meest recente versie sinds 2008 is, is het volgens Beardsley onwaarschijnlijk dat er een update uitkomt.

"De controle terugwinnen over een machine die al gecompromitteerd is voor een pentester een fantastisch verhaal om je klant te vertellen. Het onderstreept het belang van offensieve security-tests. Het vinden van RATs en backdoors is één ding, maar om ze zelf te gebruiken om informatie over het aan te vallen netwerk te verzamelen is behoorlijk 'ninja'", aldus Beardsley.