Cyberkriminelle verwenden digital signierte Java-Exploits, um Benutzer auszutricksen

Sicherheitsforscher warnen, dass Cyberkriminelle begonnen haben, mit digitalen Zertifikaten signierte Java-Exploits zu verwenden, um den bösartigen Code in Browsern laufen zu lassen.

Am Montag wurde ein signierter Java-Exploit entdeckt Website der Technischen Universität Chemnitz in Deutschland, die mit einem Web-Exploit-Toolkit namens g01pack infiziert war, sagte der Sicherheitsforscher Eric Romang am Dienstag in einem Blogbeitrag.

"Es ist definitiv go01 pack", sagt Jindrich Kubec, Direktor der Threat Intelligence Antiviren-Anbieter Avast, sagte per E-Mail. Das erste Beispiel dieses signierten Java-Exploits wurde am 28. Februar entdeckt, sagte er.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Es war nicht sofort klar, ob dieser Exploit auf eine neue Sicherheitslücke abzielt oder ein älterer Java-Fehler, der bereits gepatcht wurde. Oracle hat am Montag neue Java-Sicherheitsupdates veröffentlicht, um zwei kritische Schwachstellen zu beheben, von denen eine von Angreifern aktiv ausgenutzt wurde.

Java-Exploits wurden traditionell als nicht signierte Applets - Java-Webanwendungen - ausgeliefert. Die Ausführung solcher Applets war früher in älteren Java-Versionen automatisiert, so dass Hacker Drive-by-Download-Attacken starten konnten, die für die Opfer völlig transparent waren.

Einstellungen zur Überprüfung der Zertifikatssperrung in Java 7

Ab der Januar-Version von Java 7 Update 11 werden die Standardsicherheitskontrollen für webbasierten Java-Inhalt auf "hoch" gesetzt, was Benutzer zur Bestätigung auffordert, bevor Applets in Browsern ausgeführt werden dürfen, unabhängig davon, ob sie digital signiert sind oder nicht.

Die Verwendung von signierten Exploits über unsignierte bietet Vorteile für Angreifer, da die von Java in beiden Fällen angezeigten Bestätigungsdialoge erheblich voneinander abweichen. Die Dialoge für unsignierte Java-Applets tragen den Titel "Sicherheitswarnung".

Die digitale Signatur ist ein wichtiger Bestandteil, um sicherzustellen, dass Benutzer auf Ihren Code vertrauen können, so Bogdan Botezatu, Senior Analyst bei Bitdefender. Der Bestätigungsdialog, der für signierten Code angezeigt wird, ist viel diskreter und weniger bedrohlich als der im Fall von unsigniertem Code angezeigte.

"Außerdem verarbeitet Java selbst signierten und unsignierten Code anders und erzwingt Sicherheitsbeschränkungen entsprechend", Botezatu sagte. Wenn beispielsweise die Java-Sicherheitseinstellungen auf "sehr hoch" eingestellt sind, werden nicht signierte Applets überhaupt nicht ausgeführt, während signierte Applets ausgeführt werden, wenn der Benutzer die Aktion bestätigt. In Unternehmensumgebungen, in denen sehr hohe Java-Sicherheitseinstellungen durchgesetzt werden, kann Code-Signaturen die einzige Möglichkeit für Angreifer sein, ein schädliches Applet auf einem Zielsystem auszuführen.

Beispiel einer Sicherheitswarnung für signiertes Java-Applet in Java 7 Update 17

Dieser neue Java-Exploit hat auch die Tatsache ans Licht gebracht, dass Java nicht standardmäßig nach digitalen Zertifikatswiderrufen sucht.

Der von den Forschern gefundene Exploit wurde am Montag mit einem digitalen Zertifikat signiert, das höchstwahrscheinlich gestohlen wurde. Das Zertifikat wurde von Go Daddy an eine Firma namens Clearesult Consulting mit Sitz in Austin, Texas, ausgestellt und später mit einem Datum vom 7. Dezember 2012 widerrufen.

Zertifikatswiderrufsanträge können rückwirkend gelten und es ist nicht klar, wann genau Go Daddy die Flagge markiert hat Zertifikat für den Widerruf. Am 25. Februar, drei Tage bevor das älteste Beispiel dieses Exploits entdeckt wurde, wurde das Zertifikat in der von der Firma veröffentlichten Zertifikatsperrliste bereits als widerrufen aufgeführt, sagte Kubec. Trotzdem sieht Java das Zertifikat als gültig.

Auf der Registerkarte "Erweitert" des Java-Steuerfelds unter der Kategorie "Erweiterte Sicherheitseinstellungen" gibt es zwei Optionen mit dem Namen "Zertifikate für Sperrung mit Zertifikatssperrlisten überprüfen (CRLs) "Und" Online-Zertifikatsvalidierung aktivieren "- die zweite Option verwendet OCSP (Online Certificate Status Protocol). Beide Optionen sind standardmäßig deaktiviert.

Oracle hat zu diesem Zeitpunkt noch keine Kommentare zu diesem Thema, sagte die PR-Agentur von Oracle in Großbritannien am Dienstag per E-Mail.

"Die Gewährleistung von Sicherheit ist eine ernstzunehmende Sicherheitsüberprüfung, zumal Java das am meisten gezielte Third-Party-Produkt ist Software seit November 2012 ", sagte Botezatu. Allerdings ist Oracle nicht allein dabei, sagte der Forscher und bemerkte, dass Adobe den Adobe Reader 11 mit einem wichtigen Sandbox-Mechanismus aus Gründen der Benutzerfreundlichkeit standardmäßig ausschaltet.

Sowohl Botezatu als auch Kubec sind überzeugt, dass Angreifer zunehmend digital signiertes Java verwenden werden Exploits, um die neuen Sicherheitsrestriktionen von Java leichter zu umgehen.

Das Sicherheitsunternehmen Bit9 hat kürzlich bekannt gegeben, dass Hacker eines seiner digitalen Zertifikate kompromittiert und damit Malware signiert haben. Letztes Jahr taten Hacker dasselbe mit einem kompromittierten digitalen Zertifikat von Adobe.

Diese Vorfälle und dieser neue Java-Exploit sind der Beweis, dass gültige digitale Zertifikate am Ende bösartigen Code signieren können, sagte Botezatu. In diesem Zusammenhang ist es besonders wichtig, aktiv nach Zertifikatswiderrufen zu suchen, da dies die einzige verfügbare Minderung im Falle einer Zertifikatskompromittierung ist.

Benutzer, die täglich Java in einem Browser benötigen, sollten eine Überprüfung des Zertifikatswiderrufs in Betracht ziehen schützen Sie sich gegen Angriffe, die gestohlene Zertifikate ausnutzen, sagte Adam Gowdiak, der Gründer der polnischen Verwundbarkeitsforschungsfirma Security Explorations, per E-Mail. Forscher von Security Explorations haben im vergangenen Jahr mehr als 50 Java-Sicherheitslücken gefunden und gemeldet.

Obwohl Benutzer diese Optionen für die Sperrung von Zertifikaten manuell aktivieren sollten, werden viele von ihnen dies wahrscheinlich nicht tun, da sie nicht einmal Sicherheitsupdates installieren. Der Forscher hofft, dass Oracle die Funktion in einem zukünftigen Update automatisch aktiviert.