Java 0-Day-Schwachstelle nach 3 Tagen behoben
Es gibt
mal wieder
eine 0-Day-Schwachstelle in Java. Oder besser: Es gab sie. Denn sie wurde
von Oracle bereits geschlossen - nach nur 3 Tagen! Kommen wir also zu
einem Drama in 4 AktenTagen:
10. Januar: Exploit "in the wild" und vielen Exploit-Kits
Zuerst aufgefallen ist die Schwachstelle, der die CVE-ID CVE-2013-0422 zugewiesen wurde, als @kafeine einen Exploit dafür entdeckt hat. Nach kafeines erster Veröffentlichung folgten weitere Berichte, unter anderem von Brian Krebs. Der machte bekannt, dass sich der Exploit in den Exploit-Kits "Blackhole" und "Nuclear Pack" befindet. kafeine hat daraufhin seinen Text erweitert, der Exploit befindet sich demnach außer in "Blackhole" und "Nuclear Pack" auch in den Exploit-Kits "Cool", "Redkit", "Blackhole", "Sakura", "SofosFO" und "ProPack Sploit Pack".
Analysen des Exploits gibt es u.a. von den AlienVault Labs, die seine Funktionsfähigkeit bestätigten, den Trustwave Spider Labs und FireEye, wo man davon ausgeht, dass die Schwachstelle mindestens seit dem 2. Januar ausgenutzt wird. Laut FireEye ist die Schwachstelle systemunabhängig, es wird aber nur Windows-Schadsoftware darüber verbreitet.
Adam Gowdiak, der auch die vorherige 0-Day-Schwachstelle entdeckt hatte, hat festgestellt, dass die aktuelle 0-Day-Schwachstelle durch einen unvollständigen Patch für die alten 0-Day-Schwachstellen entstanden ist.
Fazit: Die Schwachstelle betrifft die aktuelle Version Java 7 Update 10 und erlaubt die Ausführung beliebigen Codes.
Angriffe u.a. über präparierte Werbung
Exploit-Kits werden dafür verwendet, harmlose Websites für Drive-by-Infektionen zu präparieren. Laut Kaspersky wurden vor allem in Großbritannien, Brasilien und Russland Werbeanzeigen auf harmlosen Websites gefunden, die den Exploit enthalten. Vermutlich wurden also Adserver kompromittiert. Außerdem berichtet Kaspersky, dass der Exploit erstmals am 6. Januar aufgefallen ist, bei einer näheren Untersuchung aber auch schon Mitte Dezember gefunden wurde.
Laut Trend Micro wird über den Exploit u.a. Ransomware verbreitet, und zwar der sog. "BKA-Trojaner". Der hat nicht mit der Schnüffelsoftware von BKA und Co. zu tun, sondern hat seinen Namen aufgrund seiner Vorgehensweise: Nachdem er einen Rechner gesperrt hat, gibt er die Meldung aus, der Rechner sei von BKA, Bundespolizei, GEMA oder welche passende Behörde den Cyberkriminellen auch gerade einfällt gesperrt worden. Gegen Zahlung eines Bußgelds, einer Geldstrafe etc., würde der Rechner wieder frei gegeben. Dieser Trojaner ist international tätig, in anderen Ländern werden dann die entsprechenden lokalen Behörden als angeblicher Urheber der Sperre angegeben, in den USA zum Beispiel das FBI, dass deshalb im August 2012 vor dem Trojaner gewarnt hat.
11. Januar: Modul für Metasploit veröffentlicht
Schon einen Tag später wurde ein Modul für Metasploit veröffentlicht. Der Exploit also also allgemein bekannt und kann nun für gute ebenso wie für böse Zwecke genutzt werden.
Nun steht auch fest, dass der Exploit unter Windows, Mac OS X und Linux sowie mit beliebigen Browsern funktioniert. Betroffen ist aber nur Java 7 bis zur aktuellen Version 7 Update 10, Java 6 ist laut Metasploit von dieser Schwachstelle nicht betroffen.
Weitere Details werden bekannt
Laut Costin Raiu von Kaspersky wurde der Exploit erstmals am 17. Dezember 2012 entdeckt, die Verbreitung war aber bis zum Morgen des 9. Januars (ohne Angabe der Zeitzone eine ziemlich ungenaue Angabe) sehr gering.
Laut einer Analyse von Joe Security wird über den Exploit u.a. die spanische Version des BKA-Trojaners verteilt.
Apple und Mozilla schalten Java aus
Das BSI empfiehlt, Java oder, sofern Java außerhalb des Browsers benötigt wird, zumindest das Java-Plugin im Browser zu deaktivieren. Das sollte man vielleicht mal den Entwicklern der Online-Elster raten, denn die setzen immer noch darauf und zwingen die Benutzer damit zum Betrieb einer unsicheren Konfiguration.
Ebenfalls am 11. Januar wurde von Apple (ungeschickterweise ohne Ankündigung) der eigene "Virenscanner" XProtect aktualisiert, so dass er das Java Web Start Browser Plugin deaktiviert. Dazu bedient man sich eines Tricks und verlangt mindestens Version 1.7.10.19, während die aktuelle Version 1.7.10.18 ist.
Mozilla löste das Problem nahezu zeitgleich ebenso, aber besser dokumentiert: Für alle aktuellen Java-Versionen auf allen Plattformen wurde zwangsweise Click To Play aktiviert, Java wird also nur geladen, wenn der Benutzer es ausdrücklich erlaubt. Die Frage ist, wie sicher diese Lösung ist. Mittels Social Engineering dürfte es kein Problem sein, Besucher einer vertrauenswürdigen, aber kompromittierten Website zum Einschalten des Java-Plugins zu bewegen.
12. Januar: Alle Java-Versionen betroffen?
Das Internet Storm Center weist auf eine Analyse (PDF) von Immunity hin, der zu Folge auch Java 6 (mindestens ab Update 10, ältere Versionen wurde nicht geprüft) von der Schwachstelle betroffen ist.
Brian Krebs hat eine FAQ zum 0-Day-Exploit veröffentlicht, der zu Folge Java 6 entgegen dieser Angaben nicht betroffen ist, da die entsprechende Komponente erst mit Java 7 eingeführt wurde.
Wer recht hat, wird sich ja vielleicht demnächst herausstellen.
13. Januar: Oracle veröffentlicht einen Patch
Schon 3 Tage nach dem offiziellen Bekanntwerden der Schwachstelle hat Oracle ein Security Advisory samt Patch veröffentlicht. Mit dem Update auf Version Java 7 Update 11 wird auch die Sicherheitseinstellung für das Browser-Plugin auf "hoch" gestellt, so dass nicht oder selbst signierten Applets das Starten vom Benutzer explizit erlaubt werden muss.
Oracle weist auch noch einmal ausdrücklich darauf hin, dass bereits in Java 7 Update 10 das Ausschalten des Java-Plugins deutlich vereinfacht wurde.
Ende gut, alles gut?
Mir drängt sich jetzt die Frage auf, ob Oracle diesmal alle Schwachstellen und die dann auch richtig gepatcht hat. Zur Erinnerung: Beim letzten mal wurden die Schwachstellen nicht korrekt behoben, und auch die aktuelle Schwachstelle geht auf den damaligen Patch zurück (s.o.). Und so schnell, wie der Patch kam, muss man wohl leider mit Flüchtigkeitsfehlern rechnen...
Nachtrag 14.1.:
Auf Jaxenter ist ein
Interview
mit mir zur 0-Day-Schwachstelle erschienen.
Ende des Nachtrags vom 14.1.
Nachtrag 16.1.:
Trend Micro hat
festgestellt,
dass Oracles Patch nur eine von zwei Schwachstellen behebt. Es wurde im
Grunde nur der zur Zeit ausgenutzte Angriffsvektor gepatcht. Sie sollten das
Java-Plugin im Webbrowser also
ausgeschaltet
lassen.
Ende des Nachtrags vom 16.1.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Anleitung: So schalten Sie Java im Browser aus
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Warum Sie Java im Browser ausschalten sollten
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu Java, SQL Slammer und GitHub-Geheimnissen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ein unerwartetes Java-Update
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 2013 - Das Jahr der 0-Day-Exploits?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die 0-Day-Schwachstellen der Woche, diesmal im Adobe Reader
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits und die Angriffe auf Apple, Microsoft und Co.
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Java 0-Day-Schwachstelle Nummer 3/2013 entdeckt
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Oracle patcht 0-Day-Schwachstelle und provoziert Entdeckung weiterer Schwachstellen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2013 im Überblick
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drive-by-Infektionen per E-Mail und mehr
Vorschau anzeigen