Gibt es einen Schutz vor Java-Exploits?

Zwei Millionen Betroffene allein in den letzten sechs Monaten – Kaspersky Lab beschreibt am Beispiel BlackHole geeignete Schutzstrategien

Moskau/lngolstadt, 11. September 2013 – In den Monaten März bis August
2013 wurden mehr als zwei Millionen Anwender Opfer von Cyberangriffen auf Basis der Ausnutzung von Schwachstellen in der beliebten Software Java. Diese Zahl wurde jetzt von Kaspersky Lab im Rahmen einer Fallstudie veröffentlicht und basiert auf der Auswertung des Kaspersky Security Network (KSN). Eine besondere Rolle spielen dabei sogenannte Exploit-Packs, also ganze Bündel von Exploits, aus denen Cyberkriminelle die passende Variante für den Angriff auf die jeweiligen Schwachstellen in der Software eines Rechners auswählen können. Ein typisches Beispiel für solch eine Exploit-Sammlung ist BlackHole. Kaspersky Lab hat an diesem Beispiel untersucht, wie Cyberkriminelle vorgehen, und welche Schutzmaßnahmen möglich sind.

Die Ausnutzung von Schwachstellen (Exploit) bei bekannter und beliebter Anwendersoftware gehört zu den gängigsten Methoden, um in die Rechner von arglosen Nutzern einzudringen. Dabei haben Cyberkriminelle besonders Java im Visier. Bei dieser Software wurden in den vergangenen zwölf Monaten allein 161 Schwachstellen im Java Runtime Environment (JRE) entdeckt, das auf den Rechnern der meisten Anwender installiert ist.

Jede dieser Schwachstellen stellt einen möglichen Angriffspunkt dar, solange sie nicht behoben wird. Da auf den Rechnern unterschiedliche Versionen von Java installiert sind, arbeiten Cyberkriminelle gleich mit einem ganzen Bündel von Exploits (Exploit-Pack) und wählen für ihren Angriff die jeweils passende Variante aus, sobald ein Anwender unwissentlich die Startseite (Landing Page) des Exploit-Packs aufruft.
Das ist eine manipulierte Internetseite, auf die der Anwender geführt wird.

Ein typisches Beispiel für ein Exploit-Pack ist BlackHole. Es konzentriert sich auf Schwachstellen in den gängigen Anwenderprogrammen, darunter Adobe Reader, Adobe Flash Player, und Oracle Java. Die Experten von Kaspersky Lab haben untersucht, wie Rechner von BlackHole infiziert werden. Es steht dabei stellvertretend für andere häufig genutzte Exploit-Packs wie Nuclear Pack, Styx Pack oder Sakura.

Typische Angriffsabwehr erfolgt in mehreren Stufen

Anwender können sich sehr leicht und unbemerkt beim Surfen im Internet infizieren (Drive-by-Attacken). Die Experten von Kaspersky Lab haben Anfang 2013 für ihre Studie stellvertretend drei Exploits von Oracle Java aus der BlackHole-Sammlung ausgewertet. Diese beinhalten verschiedene Angriffsstufen, die folgendermaßen abgewehrt werden können:

  • Blockieren des Aufrufs der Startseite: Einmal auf die Landing Page eines Exploit-Packs gelangt, ist der Anwender schon im Spinnennetz.
  • Diese Seite wird von Cyberkriminellen zur genauen Spezifikation des weiteren Angriffs genutzt, zum Beispiel zur Identifikation der Schwachstellen im Rechner und zur Auswahl des passenden Exploits.
  • Anti-Virus-Erkennung auf der Landing Page: Hat der Anwender die Startseite eines Exploit-Packs aufgerufen, muss diese mit einem statischen Detektor und heuristischer Analyse auf den Inhalt möglicher Schadsoftware abgeprüft werden.
  • Signatur-basierte Erkennung: Wurde die Startseite nicht als schadhaft erkannt, müssen die im Browser installierten angreifbaren Plug-ins untersucht werden – so, wie es auch Cyberkriminelle tun – um jedes gefährliche Exploit an dessen Signatur erkennen und abwehren zu können.
  • Proaktive Erkennung eines Exploits: Falls keine Signatur-basierte reaktive Erkennung möglich war, können Module für einen proaktiven Schutz eine heuristische Analyse des Laufzeitverhaltens des Exploits durchführen.
  • Erkennung bereits geladener Schadprogramme (Payload): Ein bislang immer noch unbemerkt gebliebenes Expoit wird versuchen, eine Payload auf den Rechner des Anwenders zu laden und zu starten. Diese ist beim Download oft noch verschlüsselt und kann daher erst zum Zeitpunkt ihres Starts auf Schadhaftigkeit überprüft werden.

Problem liegt auch in der Trägheit der Anwender

Die Experten von Kaspersky Lab mussten feststellen, dass sich viele Anwender unnötig den Gefahren von Exploit-Packs aussetzen, für die sich inzwischen ein regelrechter krimineller Markt entwickelt hat.
„Cyberkriminelle können sich heute bereits fertige Exploit-Packs kaufen, die nur noch konfiguriert werden müssen und dann darauf warten, dass möglichst viele Opfer den Weg auf ihre Startseiten finden“, erklärt Vyacheslav Zakorzhevsky, Head of Vulnerability Research Group bei Kaspersky Lab. „Bei aller Kenntnis über die Wirkungsweise und trotz umfassender Schutzmaßnahmen der Anbieter von Sicherheitssoftware bleiben Exploit-Packs wie BlackHole auch weiterhin ein Problem. Dabei reagiert gerade im Fall von Java der Softwareanbieter recht schnell auf neu entdeckte Schwachstellen und bietet geeignete Patches an. Leider zeigen die Anwender dann keinerlei Eile, diese auch auf ihren Rechnern zu installieren – was Cyberkriminellen genügend Zeit gibt, neue Schadprogramme für bekannte Schwachstellen zu entwickeln.“

Haben Anwender keine Sicherheitssoftware, dafür aber eines der üblichen Software-Pakete installiert, das noch nicht auf den aktuellsten Stand gebracht wurde, so stellen ihre Rechner geradezu eine Einladung an Cyberkriminelle dar, zumal Infektionen über Exploit-Packs für einen unbedarften Nutzer nur schwer zu erkennen sind. Cyberkriminelle kennen viele Methoden, zum Beispiel das Verschicken von Spam-Nachrichten mit passenden Links, um Anwender auf deren Startseiten zu locken. Die gefährlichste Art ist jedoch die Manipulation legitimer Internetseiten, etwa über Skript-Codes oder iframes. Sobald die vermeintlich sauberen Seiten aufgerufen werden, kann sich das Exploit-Pack heimlich an die Arbeit machen. Oft manipulieren Cyberkriminelle dafür auch Links von Werbebannern oder anderen Teasern.

Damit neue Exploit-Packs nicht in die Netze von Sicherheitsexperten geraten und somit identifizierbar und abwehrbar werden, legen Cyberkriminelle für die IP-Adressen von Analyse-Unternehmen (Crawler, Robots, Proxy-Server) schwarze Listen an oder blockieren den Start von Exploits auf virtuellen Maschinen. Die sicherste Art, Infektionen durch Exploits aus dem Weg zu gehen, ist daher, die Anwendersoftware auf dem Rechner frei von Schwachstellen zu halten.

Studie von Kaspersky Lab zu Java-Exploits von BlackHole: http://www.viruslist.com/de/analysis?pubid=200883825