Exploit-Kits nutzen Zero-Day-Lücke in Java

Die Anbieter der Malware-Baukästen Phoenix und Blackhole waren schneller als der offizielle Patch. Gewöhnlich setzen sie eher auf ältere Schwachstellen und die Faulheit der Anwender. Die Lücke lässt sich plattformübergreifend ausnutzen.

Beliebte Exploitation Kits – kommerzielle Baukästen für Malware – haben eine Lücke in Java ausgenutzt, bevor ein Patch erschienen war. Dies meldet M86Security. Beispielsweise Phoenix 3.0 und Blackhole Exploit Kit 1.2.1 enthielten einen Angriff über die ungepatchte Schwachstelle, was ungewöhnlich ist. Solche Exploitation Kits setzen sonst eher auf ältere Lücken, für die Patches zwar verfügbar sind, aber die viele Nutzer nicht eingespielt haben.

Die Lücke hatte Sicherheitsforscher Michael Schierl vor einigen Wochen beschrieben. Sie ähnelt anderen Java-Schwachstellen, bei denen nicht vertrauenswürdiger Code mit erweiterten Rechten ausgeführt wird. Über die Javscript-Engine Rhino lässt sich der Security Manager ausschalten und anschließend Code mit allen Rechten ausführen. Dies funktioniert plattformübergreifend, sodass die Lücke sich besonders effizient missbrauchen lässt.

M86Security kommentiert, dass sich die Autoren der Malware-Baukästen offenbar beeilt hätten, die Schwachstelle in ihr Repertoire aufzunehmen. Sie seien immerhin schneller gewesen als der Java-Anbieter – also Oracle – mit seinem Patch.

In seinem eigenen Produkt M86 Secure Web Gateway hat der Sicherheitsanbieter einen Schutz vor dem Exploit eingebaut. Allgemein empfiehlt er, Java stets auf dem neuesten Stand zu halten – oder abzuschalten, falls es nicht benötigt wird. Seit Kurzem ist in Form von Java 6 Update 29 und Java 7 Update 1 auch eine Sicherheitsaktualisierung erhältlich.

Managementkonsole des Blackhole Exploit Kit (Screenshot: M86Security)
Managementkonsole des Blackhole Exploit Kit (Screenshot: M86Security)

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Exploit-Kits nutzen Zero-Day-Lücke in Java

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *