Dipl.-Inform. Carsten Eilers

FireEye berichtet, dass erfolgreiche Angriffe durch einen neuen 0-Day-Exploit für Java beobachtet wurden. Betroffen sind die Browser-Plugins von Java 6 Update 41 und Java 7 Update 15, wem die Angriffe galten wurde verständlicherweise nicht verraten.

Die ausgenutzte Schwachstelle, von Oracle als CVE-2013-1493 registriert, erlaubt anders als die zuvor bekannt gewordenen 0-Day-Schwachstellen nicht die Manipulation des Security Managers, sondern das Lesen und Schreiben beliebiger Speicherbereiche. Die Angreifer nutzten diese Schwachstelle, um die internen Datenstrukturen der Java Virtual Machine (JVM) zu finden, in denen zum Beispiel festgehalten wird, ob der Security Manager eingeschaltet ist oder nicht. Danach überschreiben sie die Struktur mit Nullen, vermutlich in erste Linie um den Security Manager auszuschalten. Danach wird ein Remote Administration Toolkit (RAT) namens McRAT nachgeladen und installiert. Anders als der Name vermuten lässt, handelt es sich dabei nicht um einen Mac- sondern einen Windows-Schädling.

Der Exploit ist laut FireEye nicht besonders zuverlässig, da er einen großen Speicherbereich zu überschreiben versucht. In den meisten Fällen wird daher zwar der McRAT-Code geladen, beim Ausführen kommt es aber nur zu einem Absturz der JVM und nicht zur Ausführung des Codes.

Die Schwachstelle gehört nicht zu den zwei am 25. Februar von Security Explorations an Oracle gemeldeten Schwachstellen, da die nur Version 7 betreffen, der aktuelle Exploit aber auch Version 6 angreift.

Symantec nennt den zur Spionage in verschiedenen, nicht genannten Industrie-Bereichen eingesetzten Trojaner Trojan.Naid und berichtet über Zusammenhänge mit vorherigen Angriffen: Zum einen wurde der Trojaner bereits zuvor über mehrere 0-Day-Schwachstellen verbreitet zum anderen eine Version des Trojaners, die sich mit dem gleichen Command&Control-Server wie die aktuell verteilte Version verbindet, mit einem Anfang Februar kompromittierten Bit9-Zertifikat signiert.

Die Schutzprogramme des Security-Anbieters Bit9 schützen Unternehmensnetze, indem nur auf einer Whitelist stehende Programme ausgeführt werden. Anfang Februar wurden Server von Bit9 kompromittiert, die Angreifer verschafften sich Zugriff auf ein Code-Signing-Zertifikat. Sie nutzten das Zertifikat zum Signieren von Malware (wozu auch sonst?), die dann auch prompt auf den Rechnern von drei Bit9-Kunden gefunden wurde. Es handelte sich sehr wahrscheinlich um gezielte Angriffe. In welchem Zusammenhang diese Angriffe mit denen auf Facebook, Apple und Microsoft stehen ist natürlich nicht bekannt.

Da ich gerade dabei bin, gleich noch zwei Ergänzungen zum Text vom vorigen Donnerstag:

28. Februar: Weitere Details zu den PDF-Exploits veröffentlicht

FireEye hat weitere Details zur über die Schwachstellen CVE-2013-0640 und CVE-2013-0641 im Adobe Reader und Acrobat XI verbreiteten Schadsoftware veröffentlicht. Wie zu erwarten, handelt es sich um ein RAT, dass außerdem auch Daten ausspähen kann. Was sonst sollten die Angreifer auch einschleusen, sofern sie spionieren wollen? Dazu brauchen sie einen Zugriff auf den Rechner und eine Möglichkeit, dort Daten zu sammeln. Mit Scareware oder Ransomware kommen sie da nicht weit.

FireEye hat den 666 genannten Schädling auch auf Verbindungen zum von Kaspersky entdeckten Trojaner MiniDuke untersucht. 666 und MiniDuke scheinen von verschiedenen Entwicklern zu stammen, da unterschiedliche Compiler und Methoden verwendet wurden. Einige Übereinstimmungen wie der identische Name des Droppers und die Verwendung des Strings bzw. der Zahl 666 im Code werfen aber die Frage auf, ob das alles Zufälle sind oder ob es vielleicht doch irgend einen Zusammenhang zwischen den Schädlingen gibt.

1. März: Exploit für CVE-2013-0431 im Blackhole Exploit Kit

Trend Micro berichtet, dass ein Exploit für die am 1. Februar gepatchte Java-Schwachstelle CVE-2013-0431 im Blackhole Exploit Kit gefunden wurde. Diese Schwachstelle dürfte also noch einige Zeit lang angegriffen werden. Was kein Problem ist, sofern Ihr Java-Plugin aktuell oder noch besser ausgeschaltet ist.

Für was steht JAVA?

Offiziell wurde Java ja nach einer Kaffee-Sorte benannt, so langsam kommt bei mir aber der Verdacht auf, dass das doch eine Abkürzung ist: JAV steht bestimmt für
Just
Another
Vulnerability.
Ich weiß nur noch nicht, für was das letzte A steht. Mir fallen nur Advisory oder Attack ein. Advisory kann es eigentlich nicht sein, die gibt es ja immer erst einige Zeit nach den 0-Day-Angriffen. Und Attack passt nicht zum Rest. Falls Sie einen Vorschlag haben, können Sie gerne die Kommentarfunktion nutzen.

Die 0-Day-Exploits im Überblick

Kommen wir noch zur aktualisierten Übersicht über die aktuellen 0-Day-Exploits:

Wetten, wann die nächste 0-Day-Schwachstelle entdeckt wird und ob sie sich in Java, Adobe Reader / Acrobat, Flash Player oder womöglich doch in einem anderen Programm befindet, werden zumindest von mir nicht angenommen.

Carsten Eilers