Java mit Hintertür

Originalartikel von Manuel Gatbunton, Threat Response Engineer

Eine bis dato ungepatchte Zero-Day-Schwachstelle (CVE-2012-4681) in JRE 1.7/Java 7 wird von einer schädlichen .JAR-Datei ausgenützt. Bei Erfolg wird ein Backdoor-Schädling heruntergeladen, der das Ausführen von Befehlen auf dem System aus der Ferne ermöglicht.

Der Exploit läuft auf allen Versionen des Internet Explorers, Firefox, Chrome, Safari und Opera. Das ergaben Tests von Metasploit. Ziel der Angriffe sind Windows-Umgebungen, doch kann er mit einigen Modifikationen auch Macs und Linux-Systeme angreifen. Allerdings wurden auf letzteren Systemen bislang keine Exploit entdeckt. Der Schädling breitet sich über Spam-Mails aus. Die E-Mail enthält einen Link zu einem File Sharing-Tool, doch in Wahrheit zeigt er auf den Exploit.

Technische Analyse

Die Sicherheitslücke bezieht sich auf den neuen Java 7 classcom.sun.beans.finder.ClassFinder, der es der sun.awt.SunToolkit Klasse erlaubt, den Schadcode zu laden, zu modifizieren und auszuführen. Die Bedrohung besteht aus einer HTML-Seite mit schädlichem  JavaScript (index.html ist JS_FIEROPS.A), einem Java Applet (applet.java ist JAVA_GONDY.A), und dem bösartigen Binary (FLASH_UPDATE.exe ist BKDR_POISON.BLW).

Nutzer werden auf Seiten umgeleitet, wie etwa http://www.{BLOCKED}s.com/public/meeting/index.html, wo das schädliche Java Applet (JAVA_GONDY.A) heruntergeladen wird. Das Applet gibt einige Parameter weiter, die zum Download von BKDR_POISON.BLW führen. Technische Einzelheiten zum Ablauf des Angriffs sind hier zu finden.

Die Analyse ergab, dass der Hintertür-Schädling BKDR_POISON.BLW weitere Malware herunterlädt und auf dem betroffenen System ausführt. Die Malware kann Screenshots, Webcam- und Audio-Aufnahmen vom infizierten System abfangen.

Einigen Berichten zufolge könnte dieser Zero-Day-Exploit in gezielten Angriffen verwendet werden, doch die Sicherheitsforscher von Trend Micro bezweifeln dies. Die Sites, die den Exploit hosten, sind als Verbreiter verschiedener Malware bekannt. Der Server, zu dem BKDR_POISON.BLW Verbindung aufnimmt, ist ebenfalls als C & C-Malware Server berüchtigt. Gezielte Angriffe hingegen versuchen sich zu verstecken.

Anwender von Trend Micro-Lösungen sind durch das Smart Protection Network vor der Gefahr geschützt, denn die Sicherheitsinfrastruktur entdeckt und löscht den Exploit sowie die Schädlingskomponenten. Auch blockt sie den Zugriff auf die kompromittierten Sites, wo die Infektion startet. Anwender von Deep Security sind über die Anwendung der Rule 1005170 – Java Applet Remote Code Execution Vulnerability vor der Gefahr sicher. Zusätzlich fängt Deep Discovery die Netzwerkaktivitäten von BKDR_POISON.BLW ab.

Rik Ferguson, Director Security Research & Communications EMEA, empfiehlt den Nutzern, sicherheitshalber Java in den Webbrowsern zu deaktivieren:

  • Java im Internet Explorer: Im Tools-Menü wird Manage Add-Ons ausgewählt und dort Java™ Plug-in SSV Helper und Java 2™  Plug-in 2 SSV Helper deaktiviert.
  • Firefox (MacOS & Windows): Im Tools-Menü wird Add-Ons gewählt und Java Deployment Toolkit, Java™ Platform and/or Java Applet Plug-in deaktiviert.
  •  Java in Google Chrome: Oben rechts im Chrome-Browser wird der Wrench-Icon und Settings gewählt, dann Show advanced settings. Hier im Privacy-Bereich wird Content Settings gewählt, Plug-ins und Disable individual plug-ins. Hier kann Java deaktiviert werden.
  •  Java in Safari for MacOS: Im Preferences-Dialog wählt man Security und entfernt den Haken bei der Box Enable Java.

Update vom 31. August

Inzwischen hat Oracle ein außerplanmäßiges Update herausgebracht. Weitere Informationen hierzu sowie zu den von Nart Villeneuve, Senior Threat Researcher bei Trend Micro, erforschten Hintergründen der Java-Lücke finden sich hier.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*