Dipl.-Inform. Carsten Eilers

Am Sonntag (26. August) berichtete Atif Mushtaq von FireEye über einen Exploit für eine 0-Day-Schwachstelle in Java 7, die in geringen Ausmaßen für gezielte Angriffe ausgenutzt wird. Er konnte den Exploit mit dem neuesten JRE Version 1.7 Update 6 erfolgreich testen.

Am Montag (27. August) veröffentlichten Andre’ M. DiMino und Mila Parkour von DeepEnd Research weitere Details. Betroffen sind alle Versionen von Java 7 in allen Webbrowsern. Laut Symantec ist die ältere Version JRE 1.6 nicht betroffen. Daher kann dieser Version als Notlösung installiert werden, zumindest zur Zeit gibt in der aktuellsten Fassung keine bekannten Schwachstellen.

Der Exploit wird als Java-Applet von einer Webseite nachgeladen und prüft zuerst, ob er unter Windows ausgeführt wird. Wenn nicht, beendet sich das Applet. Unter Windows wird weiterer Schadcode geladen und installiert. Beobachtet wurde die Installation des Remote Administration Toolkit "Poison Ivy".

Die das Applet ladende Webseite wurde von Kahu Security untersucht. Die Seite besteht nur aus JavaScript-Code, der mit dem JavaScript-Obfuscator "Dadong’s JSXX 0.44 VIP" getarnt wurde. Das Enttarnen war aufwendig, letztendlich aber erfolgreich möglich.

Sowohl der ursprüngliche Exploit als auch ein verbessertes Modul für Metasploit wurden veröffentlicht. Das Metasploit-Modul wurde erfolgreich unter Windows XP, Vista und 7, Ubuntu Linux 10.04 und Mac OS X 10.7.4 getestet. David Maynor von Errata Security ist von der Zuverlässigkeit des Metasploit-Moduls ebenso wie von der ausgenutzten Schwachstelle an sich begeistert. Sein Fazit: "This is as about a bad a bug as I've ever seen."

Eric Romang hat Videos des Angriffs über das Metasploit-Modul auf Windows und Ubuntu Linux bereitgestellt.

Analyse des Exploits

DeepEnd Research hat eine Analyse des Exploits von Michael Schierl veröffentlicht. Demnach befindet sich die Schwachstelle in der neuen Klasse com.sun.beans.finder.ClassFinder und erlaubt nicht vertrauenswürdigem Code den Zugriff auf Klassen in eigentlich nicht zugänglichen Paketen. Zuerst wird darüber eine Referenz auf die Klasse sun.awt.SunToolkit geholt Über diese Referenz wird dann ein java.beans.Statement ausgeführt, welches den Security Manager ausschaltet. Danach kann das Applet alles machen, was Java machen kann.

... da waren's plötzlich zwei Schwachstellen

Am Dienstag (28. August) wurde von Esteban Guillardoy von Immunity eine weitere Analyse veröffentlicht. Er hat festgestellt, dass nicht eine, sondern zwei 0-Day-Schwachstellen ausgenutzt werden. Die erste wird genutzt, um die Referenz auf die Klasse sun.awt.SunToolkit zu erhalten, die zweite dient dem Aufruf der Methode getField darin.

Keine gezielten Angriffe - oder doch?

Eric Romang hat schon am Montag dargelegt, dass es sich nicht um gezielte Angriffe handelt. Stattdessen weist alles auf eine "normale" Drive-by-Infektion mit Hilfe des "Gondad Exploit Kit" hin. Auch Trend Micro ist dieser Ansicht, da die betroffene Website auch andere Schadsoftware hosted und sich das installierte RAT mit einem bekannten Command&Control-Server verbindet. Es gibt aber auch Berichte über E-Mails, die die Empfänger auf eine präparierte Seite locken sollen.

Bei Kaspersky ist man sauer über die Veröffentlichung der auch dort beobachteten Exploits (über die Angriffe hätte man sicher gerne selbst zuerst berichtet) und sieht weiterhin gezielte Angriffe in Form von Advanced Persistant Threads. Was nicht mit "öffentlichen" Schadsoftware-Schleudern als Downloadquelle und C&C-Server zusammen passt, andererseits sind 0-Day-Exploits für allgemeine Drive-by-Infektionen ungewöhnlich.

Exploit im "Black Hole" Exploit-Kit

Schon am Montag meldete Brian Krebs, dass der Exploit in das populäre Exploit-Kit "Black Hole" aufgenommen werden soll. Brian Krebs hat den "Black Hole"-Verwalter über Instant Messanger kontaktiert, den er mit "The price of such an exploit if it were sold privately would be about $100,000" zitiert. Entsprechend gross dürfte die Freude des Cyberkriminellen sein, den Exploit nun kostenlos bekommen zu haben.

Am Dienstag berichteten sowohl F-Secure als Websense, dass der Proof-of-Concept-Exploit nahezu unverändert in "Black Hole" integriert wurde. Installiert wird laut Websense ein Onlinebanking-Trojaner. Damit ist die Gefahr von Angriffen über Drive-by-Infektionen drastisch gestiegen.

Am Donnerstag bestätigte Sophos, dass der Exploit in "Black Hole" integriert ist.

Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) wird die Schwachstelle über kompromittierte Werbebanner ausgenutzt, zum Beispiel um in Norwegen und den Niederlanden Onlinebanking-Trojaner zu verbreiten. Angriffe wurden auch aus Deutschland gemeldet.

Java deaktivieren oder deinstallieren

Sowohl das Bundesamt für Sicherheit in der Informationstechnik als auch das US-CERT raten, Java zu deinstallieren oder, falls es z.B. für OpenOffice, benötigt wird, zumindest das Java Browser-Plug-In zu deaktivieren. Wie das in den verschiedenen Browser funktioniert, habe ich hier zusammengefasst.

Wann gibt es einen Patch?

Opera hat sich bisher nicht zu den Schwachstellen geäußert, obwohl man dort laut Sophos seit April darüber informiert ist. Da Oracle sich bisher nicht besonders bemüht hat, notfalls Sicherheitsupdates außerhalb des normalen Patchzyklus zu veröffentlichen, ist auch diesmal eher nicht mit einem Patch vor dem nächsten regulären Termin am 16. Oktober zu rechnen.

Update 31.8.:
Wider Erwarten hat Oracle sehr schnell reagiert und ein Update veröffentlicht, dass die Schwachstellen behebt. Da das so schnell ging, war der Patch vermutlich schon fertig. Ansonsten hätte die Zeit kaum für umfangreiche Tests ausgereicht, was Nebenwirkungen wahrscheinlich macht. Hoffen wir mal das Beste.
Ende des Updates

Update 3.9.:
Das Update kam wohl doch zu schnell und reisst eine neue Lücke auf. Mehr dazu hier.
Ende des Updates

Carsten Eilers