F-Secure hat eine Variante des als Flashback bekannten Mac-OS-X-Trojaners entdeckt, die eine noch nicht behobene Schwachstelle in Java (CVE-2012-0507) ausnutzt. Bisher drang die Malware hauptsächlich über Schwachstellen ein, für die es schon Patches gab.
Die zuerst im September 2011 entdeckte Malware wurde als angeblicher Flash-Player verbreitet und bekam so ihren Namen. In den vergangenen Monaten ging sie dazu über, Macs über ältere Java-Lücken anzugreifen. Sie injiziert Code in Web-Browser oder andere Anwendungen des Systems. Beim späteren Start dieser Programme kontaktiert der Trojaner seine Kommandoserver und versucht, Screenshots sowie persönliche Informationen zu senden.
Flashback fragt nach einem Passwort. Erhält er es nicht, kann er sich immer noch über die Benutzerkonten installieren (Bild: F-Secure).
Macs mit installiertem Java sind schon gefährdet, wenn sie eine entsprechend präparierte Webseite mit Java-Applets besuchen. Die Malware kennt zwei verschiedene Wege, um sich zu installieren. Sie gibt vor, ein Update ausführen zu wollen und verlangt nach dem Kennwort eines Administrator-Accounts. Bekommt sie es, injiziert sie ihren Schadcode in Zielprogramme im Anwendungsordner. Erhält sie kein Passwort, kann sie sich immer noch über die Benutzerkonten installieren.
Apples integrierter Virenscanner XProtect erkennt zwar einige frühere Flashback-Varianten, aber nicht Dateien, die von der Java-Laufzeitumgebung ausgeführt werden. Zusammen mit der nicht behobenen Java-Schwachstelle erscheint das bedenklich. Die meisten aktuellen Mac-Systeme sind allerdings nicht betroffen, da Apple Java seit Mac OS X 10.6 Snow Leopard nicht mehr zusammen mit dem Betriebssystem ausliefert. Ist Java jedoch auf einem System installiert, besteht der einzig wirksame Schutz derzeit darin, Java zu deaktivieren. Das kann in den Sicherheitseinstellungen von Safari oder in den Einstellungen von Java selbst erfolgen.
Auch wenn neue Macs in ihrer Standardkonfiguration nicht gefährdet sind, zeigen sich hier die Risiken, die durch plattformübergreifende Laufzeitumgebungen wie Java entstehen. Werden Schwachstellen wie die hier ausgenutzte entdeckt, kommen oft Exploit-Kits wie Blackhole in Umlauf, die Tools und Code für eine relativ einfache Entwicklung von Malware bereitstellen. Selbst wenn die Schwachstelle für eine Laufzeit-Plattform behoben ist, öffnet die verzögerte Entwicklung für andere Plattformen – wie etwa bei Java für OS X – den Angreifern ein längeres Zeitfenster für ihre Malware-Angriffe.
[mit Material von Topher Kessler, News.com]
Neueste Kommentare
Noch keine Kommentare zu Mac-OS-X-Trojaner Flashback nutzt neue Java-Lücke aus
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.