Pawn Storm mit neuem Java Zero-Day-Exploit

Originalbeitrag von Trend Micro

Während der fortlaufenden Recherche und des Monitorings der gezielten Angriffskampagne Operation Pawn Storm fanden die Sicherheitsforscher vedächtige URLs, die einen neuen Zero-Day-Exploit in Java hosteten. Es war nach zwei Jahren die erste neu entdeckte Java Zero-Day-Lücke. Dieser Exploit gehört nicht zu der Reihe der Sicherheitslücken in Zusammenhang mit der Veröffentlichung der Hacking Team-Daten.

Die URLs mit dem neuen Java Exploit ähneln den URLs, die beim Angriff der Hintermänner von Pawn Storm auf NATO-Mitglieder und das Weiße Haus im April 2015 gefunden wurden. Doch damals hosteten diese URLs besagten Exploit noch nicht. Pawn Storm (deutsch: „Operation Bauernsturm“) zielte auch auf andere nationale Organisationen an, indem die Hintermänner politische Ereignisse und Treffen wie das Asia-Pacific Economic Cooperation (APEC) Forum und den Middle East Homeland Security Summit 2014 als Social Engineering-Taktik nutzten. Darüber hinaus gehörten auch Medien und die Rüstungsindustrie zu den Zielen der APT-Kampagne.

Hilfe bei der Entdeckung des Exploits kam durch das Feedbacks aus dem Trend Micro Smart Protection Network™. E-Mails an bestimmte Militärs aus einem NATO-Mitgliedsland und an eine US-Verteidigungsorganisation enthielten die schädlichen URLs mit dem Java Exploit.

Betroffen ist die neue Version 1.8.0.45. Mittlerweile hat Oracle einen Patch veröffentlicht.

Ist der Exploit erfolgreich, so kann beliebiger Code für die Standard Java-Settings ausgeführt werden, um damit die Sicherheit des Systems zu kompromittieren. Einzelheiten dazu finden Interessierte hier.

Trend Micro kann Anwender auch ohne Updates vor der Bedrohung schützen. Die Sandbox mit der Script Analyzer Engine aus Trend Micro™ Deep Discovery erkennt die Bedrohung an ihrem Verhalten. Die Funktionalität Browser Exploit Prevention in Endpoint Security der Trend Micro™ Smart Protection Suite blockt den Exploit, sobald der Nutzer auf die URL zugreift, die ihn hostet. Browser Exploit Prevention schützt gegen Exploits, die auf Browser abzielen oder damit verbundene Plugins.

Trend Micro Deep Security schützt die Anwendersysteme for den Bedrohungen, die durch die Lücke entstehen, und hat die folgende DPI-Regel zur Verfügung gestellt:

  • 1006857 – Oracle Java SE Remote Code Execution Vulnerability

Es empfiehlt sich zudem, Java in den Browsern zu deaktivieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*