Wir haben den Exploit auf mehreren Webseiten entdeckt und seine Spuren verfolgt. Eine der Seiten, auf denen er zu finden war, gehört einem albanischen TV Sender.
Der Angreifer hat Zugang zum Webserver und zum Quellcode der infizierten Webseite gehabt, denn der Exploit wurde nicht etwa durch eine Weiterleitung eingebunden, sondern direkt als Java Applet im Quellcode. Das Applet des untersuchten Falls wird von den G DATA Scannern als Java:CVE-2012-0507-EM [Trj] erkannt.
Ist der Exploit erfolgreich, wird aktuell ein IRC-Bot auf den verwundbaren Rechner heruntergeladen und wartet dann auf die Befehle des Bot-Masters. Dieser wird von den G DATA Scannern als Trojan.Generic.KDV.712954 ausgewiesen. Hinterlegt ist diese Datei auf einem gehackten Blog, der auf Wordpress basiert. Der Betreiber des Blogs hat davon sehr wahrscheinlich (noch) keinerlei Kenntnis, wurde aber von uns informiert.
Ob die Angreifer mit den gekaperten Rechnern ein ganz bestimmtes Ziel verfolgen, ist noch nicht klar. Zunächst einmal ergeben sich die üblichen Möglichkeiten: Spam-Versand, DoS- oder auch DDoS-Attacken, etc.
Im Quellcode des Exploits fanden die Experten eine Vorbereitung für die Auslieferung von Schadcode für andere Plattformen, z.B. Mac oder Linux.
Bevor der Payload auf den verwundbaren Rechner heruntergeladen wird, überprüft der Exploit, mit welchem System er es zu tun hat. Beim aktuellen Fall werden nur Schaddateien nachgeladen, wenn die Antwort „Windows“ heißt. Aber die Ausnahmebehandlung für andere Systeme ist schon implementiert, kann vom Angreifer schnell aktiviert werden und dann Schaddateien für die anderen Plattformen nachladen.
Die Analysen gehen weiter…
Wir raten Nutzern von Java 7, dies in ihrem Browser zu deaktivieren oder die aktuellste Version von Java herunterzuladen (aktuell: Java 7 Update 7, am 30. August 2012 veröffentlicht): www.java.com/en/download/
Bevor Sie diese neue Version installieren, sollten Sie alle alten Versionen vom System entfernen!
SecurityBlog (EN):
CVE-2012-4681 – A Java 0-day is going to hit big time