Microsoft waarschuwt voor aanvalsgolf op Java

Het aantal aanvallen op producten van Adobe, zoals PDF, valt daarbij in het niet. Stewart noemt deze ontwikkeling ‘op zijn minst verrassend’ en ‘angstaanjagend’.

Java-blindheid wegens belang performance

Volgens Stewart zijn de aanvallen grotendeels onopgemerkt gebleven doordat veel leveranciers van beveiligingsproducten ‘blind’ zijn voor zwakke plekken in Java. Intrusion detection systems (IDS’en) en intrusion prevention systems (IPS’en) zouden de aanvallen aan de bedrijfspoort moeten tegenhouden. Maar de fabrikanten ervan staan volgens Stewart niet te springen om een Java-interpreter in hun IDS of IPS te integreren omdat de performance daar sterk onder zou lijden.

Dat de securityleveranciers nauwelijks oog hebben voor Java-aanvallen kan ook komen doordat de aantallen in vergelijking met andere malware gering zijn. Ten onrechte, vindt Stewart. “We moeten bedenken dat het bij exploits niet alleen om aantallen draait. Ze gebeuren in een flits en je moet ze op heterdaad betrappen (..) voordat ze de deur openzetten naar een heleboel malware. Dus zelfs kleine aantallen, in het bijzonder als ze zich richten op niet-gepatchte kwetsbaarheden, doen er heel veel toe.”

Multi-platform Java aantrekkelijk voor aanvallers

Stewart signaleert nog een ander probleem: Java werkt veelal op de achtergrond. Eindgebruikers weten vaak niet eens dat Java op hun systeem draait en staan er niet bij stil om updates te installeren. Ze wijst er overigens op dat haar cijfers geen betrekking hebben op JavaScript.

Een reden dat aanvallers op kwetsbaarheden in Java mikken kan zijn dat de programmeertaal op uiteenlopende platforms en browsers werkt. Daardoor kan dezelfde aanvalscode in één klap diverse systemen, van Windows tot Mac OS en Linux, treffen.

Top-3 van misbruikte lekken

• Ruim 3,56 miljoen van de 6 miljoen aanvalspogingen in het 3e kwartaal richtten zich op een probleem met het ‘deserialiseren’ van objecten in de Java Runtime Environment (JRE). Kwaadwillenden kunnen hierdoor aanvallen uitvoeren via browsers waarin Java is ingeschakeld, op computers die draaien onder zowel Windows, als Linux, als Mac OS X. Het lek in kwestie is al in december 2008 gepatcht.
• Ook heel populair bij cybercriminelen (2,64 miljoen aanvallen) is een onjuiste interpretatie van lange URL’s, die de weg effent voor het uitvoeren van programmacode op afstand. Deze kwetsbaarheid is eind 2009 gerepareerd.
• De derde aanvalsmogelijkheid in de top-3 lijkt sterk op de eerste en heeft ook een probleem met deserialiseren als mikpunt. Het MMPC turfde 213.500 aanvallen van dit type. Eerder dit jaar is voor dit probleem een patch uitgegeven.

Pikant detail is dat Java sinds de overname van Sun eigendom is van Oracle, de grote concurrent van Microsoft in databasesoftware. Vorige week nog verspreidde Oracle 85 patches waarvan er 29 betrekking hadden op lekken in Java.