Nieuwe Java-exploitatie voor $ 5000 op zwart web; mogelijke bedreiging voor miljoenen pc's

Voor Oracle is het deja vu helemaal opnieuw.

Nog maar een paar dagen nadat het vorige week een patch vrijmaakte voor een ernstige beveiligingsfout die vorige week in zijn Java-programmeertaal werd ontdekt, haalt de software weer de kop op omdat een andere, eerder niet-gepubliceerde fout in het programma de veiligheid bedreigt van miljoenen pc's waarop de applicatie mogelijk nog steeds draait.

Oracle heeft een fix Sunday vrijgegeven voor een Java-fout zo ernstig dat het Amerikaanse ministerie van Binnenlandse Veiligheid aanraadde dat computergebruikers de software uitschakelden, tenzij het gebruik ervan 'absoluut noodzakelijk' was.

[Lees meer: ​​Hoe u malware van uw computer verwijdert Windows-pc]

Dat advies werd maandag herhaald door het Computer Emergency Readiness Team van de afdeling (US-CERT), zelfs nadat de patch beschikbaar was voor gebruikers.

Kwetsbaarheid te koop

Nu is het bei ng meldde dat een ondernemende Black Hat een nieuw Zero Day-lek weet te krijgen voor de nieuwste versie van Java (versie 7, update 11) voor maximaal twee kopers voor $ 5000 per stuk.

Zowel de versies als de broncode van het beveiligingslek zijn aangeboden door de verkoper, volgens beveiligingsblogger Brian Krebs, die het aanbod op een exclusief cybercriminaliteitsforum ontdekte.

Sinds Krebs het aanbod ontdekte, zei hij, is het van het misdaadforum verwijderd, wat suggereert dat de verkoper zijn kopers vond voor de exploit. "Naar mijn mening zou dit alle illusies die mensen kunnen hebben over de veiligheid en beveiliging van het installeren van Java op een pc van een eindgebruiker moeten wegnemen zonder zorgvuldige maatregelen te nemen om het programma te isoleren", schreef Krebs.

Deze nieuwste Java-exploit is slechter dan de vorige omdat niemand weet wat het is, volgens Bogdan Botezatu, senior e-threat analyst bij de antivirussoftware maker Bitdefender.

In de fout gepatchte zondag, legde hij uit, de exploit code werd geïdentificeerd b y beveiligingsonderzoekers in een aantal populaire malware-kits. Met de nieuwste fout is het alleen bekend bij de verkoper.

"De huidige exploitatiemethode zal waarschijnlijk onbekend blijven voor een groter tijdsbestek, wat ook de kansen van aanvallers zal vergroten," zei Botezatu in een e-mail.

Eerder deze week merkte Botezatu in een blog op dat cybercriminelen, ondanks de patch die Oracle op zondag pushte, het beveiligingslek op niet-gepatchte machines bleven gebruiken om ransomware op hen te installeren.

Beveiligingsbewegingen van Oracle

Naast het adresseren van de Zero Day-kwetsbaarheid in de patch van zondag, Oracle heeft ook de Java-beveiligingsinstelling standaard naar "high" verhoogd. "Dat betekent dat de gebruiker op dit moment de uitvoering van Java-applets moet autoriseren die niet met een geldig certificaat zijn ondertekend", legt Jaimie Blasco, manager van AlienVault Labs, uit in een e-mail.

Hoewel die stap een grote stap is in de richting van om Java veiliger te maken in een browser, merkte Blasco op, het is verre van een wondermiddel voor de problemen van Java.

"In het verleden hebben we gezien dat de aanvallers in staat waren om een ​​geldig certificaat te stelen om kwaadaardige code te ondertekenen zodat het won. Het zal me niet verbazen als we zien dat deze techniek wordt gebruikt, "zei hij.

Omdat Java lijkt te zijn bezaaid met kwetsbaarheden, beveelt Botezatu van Bitdefender aan Oracle de kerncomponenten van de software te identificeren en deze helemaal opnieuw te schrijven.

Zonder twijfel, meer dan een beetje herschrijven van de software zal worden gedaan wanneer Oracle de volgende versie van Java uitzet die gepland staat voor september.