Zero-Day-Lücke in Firefox führt zur Infizierung der Friedensnobelpreis-Site

Originalartikel von Jonathan Leopando (Technical Communications bei Trend Micro)

Die offizielle Website des Friedensnobelpreises ist infiziert worden. Das ist an sich schon schlimm genug, doch kommt hinzu, dass die Kriminellen für ihren Angriff eine Zero-Day-Schwachstelle im Mozilla Firefox-Browser ausgenützt haben. Mozilla bestätigte auf dem eigenen Blog die Sicherheitslücke  und versprach einen Patch dafür, sobald dieser ausgetestet ist. Besagte Lücke ermöglicht einen so genannten „Drive-by Download“, wobei eine bösartige Datei herunter geladen und ausgeführt wird, ohne dass der Nutzer dies mitbekommt.

Die Nobel-Site wurde mit einem bösartigen PHP-Skript kompromittiert, das die Threat Researcher als JS_NINDYA.A identifiziert haben. Aus irgendeinem Grund schränkte der Kriminelle den Wirkungsgrad des Angriffs ein. Mithilfe von Browser-Headern prüft der Exploit sowohl die Version von Firefox als auch die des genutzten Betriebssystems. Mozilla zufolge betrifft die Sicherheitslücke die Versionen Firefox 3.5 und 3.6, doch zielte der Angriff lediglich auf die neueren Version 3.6. Außerdem sind Systeme mit einer neueren Windows-Version (wie Vista, Windows 7, Server 2008 und Server 2008 R2) nicht betroffen.
Der Exploit lädt einen Backdoor (BKDR_NINDYA.A) auf das System des Nutzers, der Verbindung zu einem Command & Control-Server aufnimmt. Zu den von dort erhaltenen Befehlen gehört das Herunterfahren des Opfersystems aber auch das Löschen aller Dateien auf dem System.
Trend Micro hat sowohl das Skript als auch die Payload entdeckt, die diese Attacken nutzen, und die damit verbundenen URLs blockiert. Auch gilt die neueste Firefox-Version 4 Berta als sicher. Mozilla empfiehlt zudem, als Schutz die Noscript-Erweiterung zu nutzen, bis ein Patch verfügbar ist.

Ein Gedanke zu „Zero-Day-Lücke in Firefox führt zur Infizierung der Friedensnobelpreis-Site

  1. Pingback: Firefox: Mozilla bestätigt Sicherheitslücke - NETZWELT

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*