Skip to content

Java 0-Day-Schwachstelle nach 3 Tagen behoben

Es gibt mal wieder eine 0-Day-Schwachstelle in Java. Oder besser: Es gab sie. Denn sie wurde von Oracle bereits geschlossen - nach nur 3 Tagen! Kommen wir also zu einem Drama in 4 AktenTagen:

10. Januar: Exploit "in the wild" und vielen Exploit-Kits

Zuerst aufgefallen ist die Schwachstelle, der die CVE-ID CVE-2013-0422 zugewiesen wurde, als @kafeine einen Exploit dafür entdeckt hat. Nach kafeines erster Veröffentlichung folgten weitere Berichte, unter anderem von Brian Krebs. Der machte bekannt, dass sich der Exploit in den Exploit-Kits "Blackhole" und "Nuclear Pack" befindet. kafeine hat daraufhin seinen Text erweitert, der Exploit befindet sich demnach außer in "Blackhole" und "Nuclear Pack" auch in den Exploit-Kits "Cool", "Redkit", "Blackhole", "Sakura", "SofosFO" und "ProPack Sploit Pack".

Analysen des Exploits gibt es u.a. von den AlienVault Labs, die seine Funktionsfähigkeit bestätigten, den Trustwave Spider Labs und FireEye, wo man davon ausgeht, dass die Schwachstelle mindestens seit dem 2. Januar ausgenutzt wird. Laut FireEye ist die Schwachstelle systemunabhängig, es wird aber nur Windows-Schadsoftware darüber verbreitet.

Adam Gowdiak, der auch die vorherige 0-Day-Schwachstelle entdeckt hatte, hat festgestellt, dass die aktuelle 0-Day-Schwachstelle durch einen unvollständigen Patch für die alten 0-Day-Schwachstellen entstanden ist.

Fazit: Die Schwachstelle betrifft die aktuelle Version Java 7 Update 10 und erlaubt die Ausführung beliebigen Codes.

Angriffe u.a. über präparierte Werbung

Exploit-Kits werden dafür verwendet, harmlose Websites für Drive-by-Infektionen zu präparieren. Laut Kaspersky wurden vor allem in Großbritannien, Brasilien und Russland Werbeanzeigen auf harmlosen Websites gefunden, die den Exploit enthalten. Vermutlich wurden also Adserver kompromittiert. Außerdem berichtet Kaspersky, dass der Exploit erstmals am 6. Januar aufgefallen ist, bei einer näheren Untersuchung aber auch schon Mitte Dezember gefunden wurde.

Laut Trend Micro wird über den Exploit u.a. Ransomware verbreitet, und zwar der sog. "BKA-Trojaner". Der hat nicht mit der Schnüffelsoftware von BKA und Co. zu tun, sondern hat seinen Namen aufgrund seiner Vorgehensweise: Nachdem er einen Rechner gesperrt hat, gibt er die Meldung aus, der Rechner sei von BKA, Bundespolizei, GEMA oder welche passende Behörde den Cyberkriminellen auch gerade einfällt gesperrt worden. Gegen Zahlung eines Bußgelds, einer Geldstrafe etc., würde der Rechner wieder frei gegeben. Dieser Trojaner ist international tätig, in anderen Ländern werden dann die entsprechenden lokalen Behörden als angeblicher Urheber der Sperre angegeben, in den USA zum Beispiel das FBI, dass deshalb im August 2012 vor dem Trojaner gewarnt hat.

11. Januar: Modul für Metasploit veröffentlicht

Schon einen Tag später wurde ein Modul für Metasploit veröffentlicht. Der Exploit also also allgemein bekannt und kann nun für gute ebenso wie für böse Zwecke genutzt werden.

Nun steht auch fest, dass der Exploit unter Windows, Mac OS X und Linux sowie mit beliebigen Browsern funktioniert. Betroffen ist aber nur Java 7 bis zur aktuellen Version 7 Update 10, Java 6 ist laut Metasploit von dieser Schwachstelle nicht betroffen.

Weitere Details werden bekannt

Laut Costin Raiu von Kaspersky wurde der Exploit erstmals am 17. Dezember 2012 entdeckt, die Verbreitung war aber bis zum Morgen des 9. Januars (ohne Angabe der Zeitzone eine ziemlich ungenaue Angabe) sehr gering.

Laut einer Analyse von Joe Security wird über den Exploit u.a. die spanische Version des BKA-Trojaners verteilt.

Apple und Mozilla schalten Java aus

Das BSI empfiehlt, Java oder, sofern Java außerhalb des Browsers benötigt wird, zumindest das Java-Plugin im Browser zu deaktivieren. Das sollte man vielleicht mal den Entwicklern der Online-Elster raten, denn die setzen immer noch darauf und zwingen die Benutzer damit zum Betrieb einer unsicheren Konfiguration.

Ebenfalls am 11. Januar wurde von Apple (ungeschickterweise ohne Ankündigung) der eigene "Virenscanner" XProtect aktualisiert, so dass er das Java Web Start Browser Plugin deaktiviert. Dazu bedient man sich eines Tricks und verlangt mindestens Version 1.7.10.19, während die aktuelle Version 1.7.10.18 ist.

Mozilla löste das Problem nahezu zeitgleich ebenso, aber besser dokumentiert: Für alle aktuellen Java-Versionen auf allen Plattformen wurde zwangsweise Click To Play aktiviert, Java wird also nur geladen, wenn der Benutzer es ausdrücklich erlaubt. Die Frage ist, wie sicher diese Lösung ist. Mittels Social Engineering dürfte es kein Problem sein, Besucher einer vertrauenswürdigen, aber kompromittierten Website zum Einschalten des Java-Plugins zu bewegen.

12. Januar: Alle Java-Versionen betroffen?

Das Internet Storm Center weist auf eine Analyse (PDF) von Immunity hin, der zu Folge auch Java 6 (mindestens ab Update 10, ältere Versionen wurde nicht geprüft) von der Schwachstelle betroffen ist.

Brian Krebs hat eine FAQ zum 0-Day-Exploit veröffentlicht, der zu Folge Java 6 entgegen dieser Angaben nicht betroffen ist, da die entsprechende Komponente erst mit Java 7 eingeführt wurde.

Wer recht hat, wird sich ja vielleicht demnächst herausstellen.

13. Januar: Oracle veröffentlicht einen Patch

Schon 3 Tage nach dem offiziellen Bekanntwerden der Schwachstelle hat Oracle ein Security Advisory samt Patch veröffentlicht. Mit dem Update auf Version Java 7 Update 11 wird auch die Sicherheitseinstellung für das Browser-Plugin auf "hoch" gestellt, so dass nicht oder selbst signierten Applets das Starten vom Benutzer explizit erlaubt werden muss.

Oracle weist auch noch einmal ausdrücklich darauf hin, dass bereits in Java 7 Update 10 das Ausschalten des Java-Plugins deutlich vereinfacht wurde.

Ende gut, alles gut?

Mir drängt sich jetzt die Frage auf, ob Oracle diesmal alle Schwachstellen und die dann auch richtig gepatcht hat. Zur Erinnerung: Beim letzten mal wurden die Schwachstellen nicht korrekt behoben, und auch die aktuelle Schwachstelle geht auf den damaligen Patch zurück (s.o.). Und so schnell, wie der Patch kam, muss man wohl leider mit Flüchtigkeitsfehlern rechnen...

Nachtrag 14.1.:
Auf Jaxenter ist ein Interview mit mir zur 0-Day-Schwachstelle erschienen.
Ende des Nachtrags vom 14.1.

Nachtrag 16.1.:
Trend Micro hat festgestellt, dass Oracles Patch nur eine von zwei Schwachstellen behebt. Es wurde im Grunde nur der zur Zeit ausgenutzte Angriffsvektor gepatcht. Sie sollten das Java-Plugin im Webbrowser also ausgeschaltet lassen.
Ende des Nachtrags vom 16.1.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Anleitung: So schalten Sie Java im Browser aus

Vorschau anzeigen
Java bzw. Schwachstellen darin erfreuen sich bei den Cyberkriminellen großer Beliebtheit. Wenn Sie Java im Browser nicht benötigen, sollten Sie das Plug-In deaktivieren. Wird für eine Anwendung zwingend Java im Browser ben&oum

Dipl.-Inform. Carsten Eilers am : Warum Sie Java im Browser ausschalten sollten

Vorschau anzeigen
Eigentlich ist mit "Java ist ein potentielles Einfallstor für Angreifer, und wenn man es im Browser nicht braucht, sollte man es dort auch keinen Angriffen aussetzen" schon alles relevante gesagt. Trotzdem möchte ich das Ganze noch etwas n

Dipl.-Inform. Carsten Eilers am : Kommentare zu Java, SQL Slammer und GitHub-Geheimnissen

Vorschau anzeigen
Es gibt mal wieder schlechten Nachrichten zu Java, der Wurm "SQL Slammer" wird 10 Jahre alt, und auf GitHub ist so manches Geheimnis unheimlich unsicher aufgehoben. Das musste ich einfach kommentieren... Neues zu Java Los geht es mit Nachri

Dipl.-Inform. Carsten Eilers am : Ein unerwartetes Java-Update

Vorschau anzeigen
Oracle hat mehr oder weniger "heimlich, still und leise" ein neues Update für Java 7 veröffentlicht, genauer: Die für den 19. Februar geplante Veröffentlichung des nächsten regulären Updates vorgezogen - da es auf eine

Dipl.-Inform. Carsten Eilers am : 2013 - Das Jahr der 0-Day-Exploits?

Vorschau anzeigen
Wir haben gerade mal den 11. Februar und schon die x-te 0-Day-Schwachstelle. Wobei man sich über den Wert von x streiten kann. Aber selbst im günstigsten Fall ist der drei: Erst die 0-Day-Schwachstelle in Java und nun zwei im Flash Playe

Dipl.-Inform. Carsten Eilers am : Die 0-Day-Schwachstellen der Woche, diesmal im Adobe Reader

Vorschau anzeigen
Es gibt schon wieder neue 0-Day-Schwachstellen, diesmal zwei Stück im Adobe Reader. So langsam überlege ich, ob es sich lohnt, dafür eine neue Kategorie einzurichten. Oder sollte ich den "Standpunkt" einfach umbenennen? Auch eine &U

Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits und die Angriffe auf Apple, Microsoft und Co.

Vorschau anzeigen
Wie angekündigt geht es heute um die aktuellen 0-Day-Exploits, die Angriffe auf Unternehmen wie Facebook, Apple und Microsoft und was sonst noch so alles damit zusammen hängt. Das folgende basiert lose auf der "Timeline: Hacks Rela

Dipl.-Inform. Carsten Eilers am : Java 0-Day-Schwachstelle Nummer 3/2013 entdeckt

Vorschau anzeigen
Es gibt mal wieder eine neue 0-Day-Schwachstelle. Diesmal mal wieder in Java. Ich kann hier also gleich da weiter machen, wo ich vorigen Donnerstag aufgehört habe: 28. Februar: FireEye meldet die nächste Java-0-Day-Schwachstelle F

Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2013 im Überblick

Vorschau anzeigen
Hier finden Sie eine Übersicht über die 2013 eingesetzten 0-Day-Exploits: Nummer Veröffentlicht Gepatcht Programm(Link zum Blog-Artikel) CVE-ID 1

Dipl.-Inform. Carsten Eilers am : Drive-by-Infektionen per E-Mail und mehr

Vorschau anzeigen
Zum Abschluss des "Updates" zu Drive-by-Infektionen gibt es eine bunte Mischung von Informationen. Los geht es mit einem äußerst unschönen Angriff, bei dem die Drive-by-Infektion ungefragt ins Haus kommt: Drive-by-E-Mails I