Java-Schwachstellen werden zunehmend von Angreifern ausgenutzt, sagen Forscher

Java-Schwachstellen werden zunehmend von Angreifern ausgenutzt, um Computer zu infizieren, und das Problem könnte schlimmer werden, wenn Oracle nicht mehr tun, um das Produkt zu sichern und seine Installationsbasis entsprechend aktuell zu halten Sicherheitsforscher, die auf der Sicherheitskonferenz Black Hat USA 2012 über Java-basierte Angriffe sprechen werden.

Eine Vielzahl von Computern wird heute durch Drive-by-Download-Angriffe mit Hilfe von Web Exploit Toolkits - dem bösartigen Web - infiziert Anwendungen, die Schwachstellen in weit verbreiteten Browser-Plugins wie Flash Player, Adobe Reader oder Java ausnutzen.

Java wurde von Oracle im Rahmen der Übernahme von 2010 übernommen f Sun Microsystems.

[Lesen Sie weiter: So entfernen Sie Malware von Ihrem Windows-PC]

Vor einigen Jahren waren die meist ausgerichteten Browser-Plug-Ins Flash Player und Adobe Reader, aber viele der heutigen Web-Exploit-Toolkits sind darauf angewiesen Jason Jones, Sicherheitsforscher bei HP DVLabs, Hewlett-Packards Abteilung für Schwachstellenforschung.

Jones hat die Entwicklung einiger der am häufigsten verwendeten Web-Exploit-Toolkits wie Blackhole oder Phoenix beobachtet und wird sie präsentieren seine Ergebnisse bei Black Hat am Donnerstag.

Ein klarer Trend ist, dass Entwickler von Web-Exploit-Toolkits sich zunehmend auf Java-Exploits konzentrieren, sagte Jones. Sie integrieren auch Exploits für neue Java-Sicherheitslücken in einem viel schnelleren Tempo als zuvor.

In einigen Fällen verwenden Angreifer Exploit-Code wieder, der von Sicherheitsforschern online veröffentlicht wird, nachdem Oracle die Sicherheitslücken ausbessert. Sie modifizieren sie jedoch und wenden verschiedene Verschleierungstechniken an, um der Erkennung durch Sicherheitsprodukte zu entgehen.

"Insgesamt haben wir gesehen, wie sich die Java-Malware im Laufe der Zeit aufgrund unserer Telemetrie erhöht", sagt Jeong Wook Oh, ein Forscher mit Microsoft Malware Protection Center, per E-Mail. Oh, ich werde am Donnerstag über die neuesten Java-Auswertungstrends und Malware bei Black Hat sprechen.

Cyberkriminelle werden von Java-Exploits angezogen, weil sie sehr hohe Erfolgsraten haben können. Zum Beispiel hatte ein bestimmter Exploit, der 2011 in Blackhole integriert wurde, eine Erfolgsquote von über 80 Prozent, sagte Jones.

Dies liegt daran, dass die Benutzer die verfügbaren Sicherheitsupdates nicht rechtzeitig bereitstellen, was ein noch größeres Problem sein wird Jetzt greifen Angreifer schneller auf neue Java-Schwachstellen zu.

Adobe hat ähnlich niedrige Patch-Akzeptanzraten für Flash Player und Adobe Reader durch Verbesserung der Update-Mechanismen für diese Produkte und sogar durch automatische Updates für Flash Player erreicht.

Diese Änderungen hatten Dies hatte direkte Auswirkungen auf die Häufigkeit von Angriffen auf die beiden Produkte und andere tiefgreifende Sicherheitsmaßnahmen des Unternehmens, wie die Einführung eines Sicherheitsentwicklungszyklus (SDL) - eine Reihe von Code-Sicherheitsüberprüfungen und Entwicklungspraktiken Ziel sei es, die Anzahl der Schwachstellen zu reduzieren - oder die Implementierung von Sandboxing-Technologien, sagte Carsten Eiram, der leitende Sicherheitsspezialist im Bereich Schwachstellenmanagement rm Secunia.

Java hat bereits eine Sandbox, die theoretisch Drittanbieter-Code enthalten sollte. Eine einzelne Schwachstelle kann jedoch dieses Sicherheitsmodell durchbrechen und Angreifern erlauben, bösartigen Code direkt auf dem System auszuführen, sagte Oh.

Java hat einige ziemlich große Sicherheitsprobleme auf der Code-Ebene, sagte Eiram. Viele der Sicherheitslücken in Java seien grundlegende, die durch ein gutes SDL-Programm verhindert werden könnten.

Eiram untersuchte die Auswirkungen, die das SDL-Programm von Microsoft im Laufe der Jahre auf Microsoft Office hatte Die Anzahl der herkömmlichen Schwachstellen des Pufferüberlaufs, die im Produkt vorhanden sind, ist so groß, dass sie in Office 2010 fast nicht mehr vorkommen.

Die Forscher sind sich einig, dass Oracle Maßnahmen ergreifen muss, die Java zu einem weniger attraktiven Ziel für Angreifer machen.

"Eine automatische Hintergrundaktualisierung wird viele Vorteile bieten, wenn sie von Oracle implementiert wird", sagte Oh. "Die Angreifer missbrauchen die Zeitlücke zwischen Patch-Release und Benutzerupdates."

Die Mehrzahl der vom Angreifer verwendeten Java-Exploits zielt derzeit auf Schwachstellen ab, die bereits von Oracle gepatcht wurden. Nach Ansicht von Eiram wird sich dies jedoch ändern und Angreifer werden bald nicht gepatchte (Zero-Day-) Java-Schwachstellen anstelle von Flash-Zielen, die derzeit ein bevorzugtes Ziel für Zero-Day-Angriffe sind, angreifen.

Oracle könnte sich schwer tun solche Angriffe, weil sie im Moment nicht einer der reaktionsschnellsten Anbieter sind, sagte Eiram. Sie vermeiden es, offen über Sicherheitsthemen zu sprechen oder ihre Existenz zu bestätigen, selbst für Sicherheitsforscher, die Sicherheitslücken melden.

Softwareanbieter, die weit verbreitete Browser-Plugins wie Java, Flash oder Adobe Reader entwickeln, sind dafür verantwortlich Machen Sie sie so sicher wie möglich und reagieren Sie so schnell wie möglich auf Sicherheitsvorfälle, sagte Eiram. Adobe hat in den letzten Jahren viele Verbesserungen in diesem Bereich gemacht, aber Oracle bleibt zu langsam und antwortet nicht.

"Jede Software von Drittanbietern mit einer großen Benutzerbasis kann ein mögliches Ziel in der Zukunft sein", sagte Oh. "Aber solange Sie keine Anstrengungen unternehmen, um Ihre Software sicherer zu machen, und Ihre Software eine große Nutzerbasis hat, gibt es keinen Grund, dass die bösen Jungs aufhören, die Sicherheitslücken in Ihrer Software zu missbrauchen Die bösen Jungs können eine hohe Erfolgsrate mit diesen Sicherheitslücken haben. "

Da es keine besseren Aktionen von Plug-in-Entwicklern gibt, haben einige Browser-Hersteller Schutzmechanismen auf Browser-Ebene entwickelt, um ihre Benutzer zu schützen.

Google Chrome deaktiviert automatisch veraltete Plug-ins, die bekanntermaßen anfällig sind. Mozilla hat eine Plug-in-Blacklist für Firefox und hat sie im April als Antwort auf weit verbreitete Angriffe auf eine Schwachstelle in älteren Versionen verwendet, um verwundbare Java-Plugins zu blockieren.

Click-to-Play ist eine weitere Browserfunktion, die Plug-Ins verhindern kann -in Attacken, da es die automatische Wiedergabe von Plug-In-basierten Inhalten verhindert. Die Funktion ist bereits in Chrome vorhanden und wird derzeit in Firefox integriert.

Jones hat empfohlen, dass Benutzer Click-to-Play aktivieren, wenn sie in ihrem Browser verfügbar sind. Ein weiterer defensiver Ansatz ist, das Java-Plug-in vollständig zu löschen, wenn es nicht benötigt wird.

Leider kann dies nicht jeder tun, insbesondere in einer Geschäftsumgebung, in der Java für viele interne Anwendungen benötigt wird. Zum Beispiel haben einige Banken ihre E-Banking-Systeme immer noch um Java herum gebaut, sagte Eiram.