Neues 0-Day-Exploit schlägt zu

Trend Micro hat Daten zu Cyberattacken veröffentlicht, bei denen Exploit-Packs mit einem neuen Java-Exploit zum Einsatz kommen, das die Zero-Day-Sicherheitslücke CVE-2012-4681 ausnutzt, die Ende August entdeckt wurde. Untersuchungszeitraum – die ersten Septembertage.

Das Exploit zu CVE-2012-4681 wurde innerhalb von 24 Stunden nach Veröffentlichung der neuen gefährlichen Sicherheitslücke in Java bekannten Exploit-Packs wie Blackhole hinzugefügt. Die betreffende Sicherheitslücke hängt mit der inkorrekten Verarbeitung der Zugriffskontrolle innerhalb von „Schutzdomänen“ zusammen. Nach Einschätzung des israelischen Sicherheitsunternehmens stieg das Performance-Ergebnis von der Exploit-Sammlung Blackhole – die auf über 85% der infizierten Server, die Exploits verwenden, vertreten ist – durch das Hinzufügen des neuen 0-Day-Exploits um das 2,5-Fache. Oracle veröffentlichte erst am 30. August ein Patch zu dieser gefährlichen Schwachstelle – einige Tage nach deren Veröffentlichung.

Trend Micro und auch Kaspersky Lab verfolgen und blockieren Versuche, die Sicherheitslücke CVE-2012-4681 auszunutzen, und zwar seit Erscheinen der ersten Exploits. Im Zuge einer solchen Attacke identifizierten Experten mehr als 300 Domains und über 100 Server, die von Cyberkriminellen für die Platzierung von Webseiten mit Exploits genutzt werden. Ungefähr ⅔ dieser Domains sind in den TLD-Zonen .com (23%), .org, .net, .info und .ru (9%) registriert. Fast die Hälfte der Exploit-Plattformen wurden in den USA entdeckt, weitere 27% in Russland. Dabei sind ⅔ der Opfer des neuen Java-Exploits Amerikaner, die übrigen leben im Wesentlichen in westeuropäischen Ländern, darunter 10% in Deutschland und 7% in Italien.

Nach Angaben von Trend Micro gelangen die potentiellen Opfer auf unterschiedlichen Wegen auf die Zielplattformen mit den entsprechenden Exploit-Sammlungen: über Spam, über Umleitungen von gehackten Websites, über Umleitungen von Pornoressourcen, über Links oder schädliche Skripte in Kontextwerbung. Von Trend Micro Anfang September entdeckte Spam-Mails kamen als offizielle Benachrichtigungen des sozialen Netzwerkes LinkedIn bzw. als Mitteilungen eines AV-Programms, des Online-Services eFax oder des Anbieters von Bargeldtransfer Western Union daher. Alle diese gefälschten Nachrichten enthielten Links, die auf eine gehackte Website führten, die den Anwender auf die Zielseite umleiteten. Dort wird dann nach Sicherheitslücken auf dem System gesucht und – bei Erfolg – das passende Exploit aktiviert.

Quelle: Java Zero-Days und das Blackhole Exploit Kit

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.