Blühender Schwarzmarkthandel mit Sicherheitslücken in Java

Hartmut Schlosser

Die Sicherheitslücken in Java scheinen noch immer nicht ausgeräumt zu sein. US-amerikanische Medien berichten heute über Versuche, Zero-Day Exploits in Java – also Sicherheitslücken, die den Oracle Sicherheitsexperten noch nicht bekannt sind – auf Untergrundforen zu verkaufen.

Die Rede ist konkret von einer Schwachstelle im Java JRE 7 Update 9, die für eine 5-stellige Summe veräußert werden sollte. Sicherheitsblogger Brian Krebs präzisiert auf www.krebsonsecurity.com , dass die Lücke in der Java-Klasse MidiDevice.Info aufklaffen soll, mit der Audio Inputs und Outputs verwaltet werden.

Zitiert wird ein User eines Hacker-Forums mit den Worten, die Lücke ermögliche Codeausführungen in Java-7-Versionen, sei aber nicht in Java 6 anzutreffen. Belegt soll das ganze mit Firefox, MSIE und Windows 7 sein. Der User wolle den Exploit nur ein einziges Mal verkaufen, wobei er keine Garantie übernimmt, dass die Lücke nicht schnell gepatcht werden könnte. Der abschließende Ratschlag: Nutze die Lücke schnell!

Das Handeln mit Sicherheitsschwachstellen ist kein neues Phänomen. In der Vergangenheit hatten etwa Microsoft und Adobe mit solchen kommerziell ausgerichteten Hacker-Attacken zu kämpfen. Dass in jüngster Zeit allerdings Java derart häufig in den Horizont professioneller Hacker rückt, ist neu. Offenbar lässt die Verbreitung Javas den Marktwert von Zero Day Exploits nach oben schnellen (Oracle spricht von drei Miliarden Devices mit Java-Installationen). Wie wir kürzlich berichteten, werden Exploit Kits gezielt auf Java-Angriffe ausgerichtet.

Sicherheitsexperte Cartsen Eilers:

Die Exploit-Kits werden auf dem Schwarzmarkt gehandelt und laufend weiterentwickelt. Dabei werden z.B. neue Exploits hinzugefügt und die Tarnfunktionen verbessert.

[…]
Kaum hat Oracle Schwachstellen gepatcht, da sind die Patches auch schon analysiert und Exploits machen die Runde.

Was Java für Hacker ebenfalls interessant macht, ist die Tatsache, dass Java zwar auf fast allen Devices und Browsern installiert ist, viele User davon aber nichts wissen. Sicherheitspatches werden laut Rapid7 auf 65 Prozent der Java-Installationen nicht eingespielt. Cyberkriminelle sprechen deshalb von einer hohen Erfolgsrate für Java-Attacken.

Adobe hatte mit dem Flash Player und dem Adobe Reader ein ähnliches Problem, das aber durch die Verbesserung des Update-Mechanismus bzw. durch automatische Updates für den Flash Player einigermaßen in den Griff bekommen werden konnte. Auch Microsoft galt lange Zeit als offenes Scheunentor für Angriffe, hat daraufhin aber massiv in Sicherheit investiert, sodass kaum ein Unternehmen heute besser gegen Angriffe gewappnet ist.

Sicherheitsexperten attestieren Oracle hingegen einen wenig geeigneten Prozess, um mit solchen Sicherheitsproblemen umzugehen. Lediglich drei Mal jährlich veröffentlicht Oracle Patches für Java. Für Chet Wisniewski, Sicherheits-Advisor von Sophos ein „sehr seltsamer Zyklus.“

[Oracle] currently patch Java three times a year, which is an extremely strange cycle. And even though the zero-days come along frequently, they don’t seem very motivated to fix them. Instead of holding off until February, they should probably issue patches every month.

Der aktuelle Fall sei dennoch ungewöhnlich aufgrund der offenen Art und Weise, wie die Sicherheitslücke zum Verkauf angeboten wurde, sagt Wisniewski auf Infoworld.

Sicherheitsexperte Andrew Storms von nCircle fordert deshalb, Oracle solle enger mit der Sicherheitsindustrie zusammenarbeiten. Oracle teile zwischen Patches nur sehr wenige Informationen mit Sicherheitsexperten:

We could all benefit by Oracle stepping up the game to engage the community at large

Ratschläge, Java bzw. das Java-Plug-in zu deinstallieren, bleiben deshalb nicht aus. Als weniger radikale Option wird empfohlen, auf die gute alte Firewall zurückzugreifen, um den Internet-Zugriff des Java Plug-ins zu blockieren. Nach dem Whitelist-Verfahren sollen nur noch solche Seiten angesteuert werden dürfen, die ausdrücklich dafür freigegeben wurden.

Eine befriedigende Lösung ist das für Java-Entwickler freilich nicht, die ja bereits mit ansehen mussten, wie Apple das Java-Plug-in aus ihrem Browser entfernte. Eine eindeutige Reaktion von Oracle blieb bisher aus. Diese wäre aber nötig, um Java von den Spitzenpositionen in der „Hall of Shame der Malware-Attacken“ zu verbannen.

Geschrieben von
Hartmut Schlosser
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.