[datensicherheit.de, 27.02.2026] Laut einer aktuellen Meldung der Universität Paderborn ist es dort vor rund drei Jahren eigenen Wissenschaftlern gelungen, mit „SootUp“  eine wegweisende Neuerung zu „Soot“, dem bislang weltweit führenden Framework zur Analyse und Transformation von „Java“- und „Android“-Anwendungen, zu entwickeln. Demnach soll nun der nächste große Schritt erfolgen: Forscher am „Heinz Nixdorf Institut“ (HNI) der Universität Paderborn realisieren unter der Leitung der Fachgruppe „Secure Software Engineering“ von Prof. Dr. Eric Bodden das Projekt „CoSA“ und erweitern „SootUp“ darüber um wichtige Funktionen – mit dem erklärte Ziel: Nutzer sollten künftig „SootUp“ als neues Standard-Framework für die Programmanalyse von „Java“ und „Android“ anwenden können. Dieses Vorhaben wird von der Deutschen Forschungsgemeinschaft (DFG) über einen Zeitraum von drei Jahren mit rund 1,2 Millionen Euro gefördert. „Das Fraunhofer-Institut für Entwurfstechnik Mechatronik [] (IEM) ist Projektpartner, assoziierter Partner ist das Fraunhofer-Institut für Sichere Informationstechnologie (SIT).“

„SootUp“ präsentiert eine völlig neugestaltete, modulare Variante des Vorgängers „Soot“

In der Softwareentwicklung versteht man unter einem sogenannten Framework einen „Entwicklungsrahmen“, welcher Programmierern zur Verfügung steht, um die Basisarchitektur und -funktionalität einer Software bereitzustellen.

• „Soot“ habe sich in mehr als 20 Jahren zu einem leistungsstarken Framework entwickelt, jedoch sowohl Forscher als auch Anwender wegen technischer Mängel und Komplexitätsproblemen vor Herausforderungen gestellt.

Um diese Hindernisse zu beseitigen, sei dann „SootUp“ entwickelt worden. Als Nachfolger präsentiere dieser eine völlig neugestaltete, modulare Variante und sei im Rahmen des DFG-Sonderprogramms „Nachhaltigkeit von Forschungssoftware“ entstanden.

Aktuell fehlen noch Funktionen, auf welche langjährige „Soot“-Nutzer angewiesen sind

Die Zahl der Nutzer sei stetig gewachsen, denn dieses neue Framework sei dank einer modernisierten Architektur einfacher zu verwenden, zu testen und zu warten. Dennoch sei „SootUp“ eben noch nicht etabliert. Der Grund dafür sei, dass aktuell noch soclhe Funktionen fehlten, auf welche die langjährigen „Soot“-Nutzer jedoch unbedingt angewiesen seien.

• Im Rahmen des Projektes „CoSA“ möchten die Wissenschaftler diese wichtigen, aber noch nicht implementierten Funktionen nun hinzufügen, damit eben „Soot“ schrittweise auslaufen könne.

So wäre es dann auch möglich, die Wartungsressourcen künftig auf „SootUp“ zu konzentrieren und dessen weitere Verfügbarkeit sowie Wartung nachhaltig zu gewährleisten.

„CoSA“-Projekt soll „SootUp“ um jene Funktionen erweitern, welche Nutzer am dringendsten benötigen

Die zentralen Projektziele umfassten u.a. die Generierung von „Java“- und „Android“-Bytecode, um nicht nur die Analyse, sondern auch die Transformation von Anwendungen zu ermöglichen, sowie die Migrationsunterstützung von „Soot“ hin zu „SootUp“, um bisherige „Soot“-Nutzer auch bei der Aktualisierung ihrer Projekte zu begleiten.

• Zudem werden Lernmaterialien und Tutorials bereitgestellt. Laut Professor Bodden ist es Ziel des „CoSA“-Projekts, „SootUp“ um jene Funktionen zu erweitern, welche die Nutzer am dringendsten benötigen. So könnten sie darüber die Akzeptanz des Frameworks erhöhen und die Anwender gezielt unterstützen.

Kadiray Karakaya, Leiter der Entwicklung von „SootUp“ an der Universität Paderborn, fügt abschließend hinzu: „Die Entwicklung eines Nachfolgers für ein so beliebtes Framework ist in vielerlei Hinsicht eine Herausforderung. Wir müssen Korrektheit, hohe Qualität und eine vergleichbare Leistung sicherstellen, um die breite ,Community’ langfristig zu überzeugen. So können wir ,SootUp‘ für die moderne Programmanalyse etablieren.“

Weitere Informationen zum Thema:

UNIVERSITÄT PADERBORN
Universität Paderborn

SootUp
What’s SootUp?

Soot
Soot – A framework for analyzing and transforming Java and Android applications

HEINZ NIXDORF INSTITUT UNIVERSITÄT PADERBORN
Willkommen am Heinz Nixdorf Institut: Wir sind ein interdisziplinäres Forschungsinstitut. Unser Forschungsschwerpunkt sind intelligente technische Systeme. Wir entwerfen Konzeptionen für intelligente technische Systeme, die anpassungsfähig, robust und benutzungsfreundlich sind und vorausschauend handeln. Das erfordert neue Herangehensweisen, Methoden und Techniken, die wir liefern.

UNIVERSITÄT PADERBORN
Prof. Dr. Eric Bodden

UNIVERSITÄT PADERBORN
Kadiray Karakaya – Secure Software Engineering / Heinz Nixdorf Institut, Mitglied – Wissenschaftlicher Mitarbeiter

Fraunhofer IEM Fraunhofer-Institut für Entwurfstechnik Mechatronik
Wir gestalten das Engineering der Zukunft

Fraunhofer SIT
Institutsprofil

[datensicherheit.de, 14.12.2021] „Log4Shell“, eine kritische Zero-Day-Sicherheitslücke der weitverbreiteten „Java“-Logging-Bibliothek „Log4j“, beschäftigt aktuell die IT-Sicherheitswelt, denn das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu die höchste Warnstufe („Rot“) ausgerufen. IT-Sicherheitsexperten versuchen nun mit Hochdruck, ihre Systeme mithilfe der inzwischen bekannten Informationen und erster Updates abzusichern. Dieser über ein „Bug Bounty“-Programm aufgedeckte Softwarefehler sei bereits als „kritischste Sicherheitslücke des letzten Jahrzehnts“ eingestuft worden, denn diese Schwachstelle sei in einem Open-Source-Protokollierungstool aufgedeckt worden, welches in „Cloud“-Servern und Unternehmenssoftware allgegenwärtig sei, so Phil Leatham, „Senior Account Executive“ bei YesWeHack Deutschland, in seiner aktuellen Stellungnahme – darin ruft er gerade in diesen Zeiten zu mehr „Crowdsourced Security“ auf.

Foto: privat

Phil Leatham: Das größte Risiko kann auch von Komponenten ausgehen, bei denen man dies am wenigsten erwartet…

Schwachstelle Log4Shell erinnert daran, dass moderne Computersysteme aus Tausenden Komponenten bestehen

„Die Schwachstelle ,Log4Shell‘ erinnert uns daran, dass jedes moderne Computersystem aus Hunderten und Tausenden von Komponenten besteht. Das größte Risiko kann dabei auch von denjenigen Komponenten ausgehen, bei denen man dies am wenigsten erwartet hätte. Unabhängig davon, ob es sich um Open-Source- oder Closed-Source-Software handelt“, erläutert Leatham.
In diesem speziellen Fall erweise sich ausgerechnet eine Komponente, die von fast allen Systemen – oft ohne es zu wissen – für eine so harmlose und normalerweise „unangreifbare“ Funktion wie die Protokollierung verwendet werde, als „Achillesferse des Internets“.

Schnelle Mobilisierung der Sicherheitsgemeinschaft, um katastrophalen Auswirkungen der Schwachstelle zu begegnen

Doch wieder einmal habe die schnelle Mobilisierung der Sicherheitsgemeinschaft, um betroffene Systeme zu identifizieren und Lösungen zu finden, „uns in die glückliche Lage versetzt, die potenziell katastrophalen Auswirkungen einer solchen Schwachstelle zu verringern“.
Um das erneute Auftreten ähnlicher Risiken zu verhindern, wird es laut Leatham „immer notwendiger, diese Gemeinschaft und insbesondere die Community der ethischen Hacker stärker zu nutzen“. Dies könne Unternehmen dabei helfen, ihre Sicherheitsgrenzen zu schützen und, was noch wichtiger sei, „ihr Netzwerk in Echtzeit zu überwachen“. So könnten sie eventuelle Korrekturen vornehmen, „bevor ein böswilliger Akteur davon profitiert“.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Kritische Schwachstelle in Java-Bibliothek log4j

datensicherheit.de, 14.12.2021
Schwachstelle in Log4j: Hohes Risiko des Missbrauchs bereits angegriffener Systeme / Dr. Michael Littger warnt davor, dass noch viele Systeme mangels Update diese Schwachstelle aufweisen und somit ungeschützt vor Angriffen sind

datensicherheit.de, 13.12.2021
Log4Shell: Bitkom zur Bedrohungslage durch neue Schwachstelle / Cyber-Kriminelle versuchen bereits aktiv, diese Schwachstelle auszunutzen

datensicherheit.de, 13.12.2021
Apache Log4j mutmaßlich größte und kritischste IT-Schwachstelle des letzten Jahrzehnts / Auch Tenable-CEO Amit Yoran warnt eindringlich vor Schwachstelle in Apache Log4j

[datensicherheit.de, 20.04.2018] Im bundeseinheitlichen Rechtsanwaltsverzeichnis soll vor Kurzem eine große Sicherheitslücke entdeckt worden sein, zurückzuführen auf eine veraltete, für „Oracle“-Angriffe anfällige „Java“-Komponente. Dieses Anwaltsregister ist Teil des Besonderen elektronischen Anwaltspostfachs (beA) – theoretisch hätten Angreifer die Anwaltsdatenbank somit manipulieren können. Bereits im Januar 2018 hatte sich ein ähnlicher Vorfall mit einigen anderen Anwendern dieser Softwarekomponente ereignet. Julian Totzek-Hallhuber, „Principal Solution Architect“ bei CA Veracode, hat den aktuellen Vorfall kommentiert.

Anscheinend nichts gelernt…

Totzek-Hallhuber: „Man sollte meinen, die Sicherheit von Drittanbietern sei für Unternehmen ein wichtiges Thema. Immerhin mussten Ende letzten Jahres knapp 150 Millionen Datensätze in den USA dran glauben, weil Angreifer eine Schwachstelle in der ,struts2‘-Bibliothek ausnutzen konnten.“
Doch wie das aktuelle Beispiel zeige, habe man anscheinend nichts gelernt.

Beinahe grob fahrlässig…

Laut dem „Veracode SoSS-Report“ basierten ca. 80 Prozent der untersuchten Applikationen auf Drittanbieter-Komponenten. Selbst wenn Entwickler in „Secure Coding“ geschult sind, sei es gefährlich, Drittanbieter-Komponenten einfach zu ignorieren.
Diesen Aspekt dann nicht mal in die Applikations-Sicherheitsstrategie zu integrieren, sei „beinahe grob fahrlässig“.

Liste der verwendeten Komponenten und bekannten Schwachstellen erstellen!

„Was also sollte man tun? Zuerst empfiehlt es sich, eine Liste der verwendeten Komponenten und deren bekannten Schwachstellen zu erstellen – um dann seinen Entwicklern auch eine einfache Möglichkeit zu geben, die Verwendung dieser Komponenten zu analysieren“, empfiehlt Totzek-Hallhuber.
„Veracode hat deswegen Source Clear übernommen, den einzigen Anbieter am Markt, der verifiziert, ob die bekannte Schwachstelle überhaupt in der Applikation genutzt wird und von Angreifern ausgenutzt werden kann,“ so Totzek-Hallhuber.

Weitere Informationen zum Thema:

datensicherheit.de, 03.01.2018
Besonderes elektronisches Anwaltspostfach: beA-Einführung wird zur Affäre / Anwälte kritisieren Fehlinvestition und fordern personellen Neuanfang

datensicherheit.de, 22.01.2018
beA: Deutscher Anwaltverein fordert Vorrang für die Sicherheit / Tagung „beA – Wie geht es weiter“ am 22. Januar 2018 in Berlin widmete sich dem problembeladenen „besonderen elektronischen Anwaltspostfach“

[datensicherheit.de, 16.04.2016] Der Krypto-Trojaner „Locky“ besteht im Wesentlichen aus JAVA-Code (JavaScipt, VB-Script, Makros oder direkt als CMD getarnt), der sich meistens in einer Rechnung in einem E-Mail-Anhang verbirgt, dann automatisch ausgeführt wird und die weiteren, zur Ausführung benötigten Code-Elemente aus dem Internet nachlädt. ItWatch hat in einer aktuellen Aussendung umfangreiche Informationen zu „Locky“ zusammengetragen, von denen einige nachfolgend angerissen werden.

Verschlüsselung von bis zu 40.000 Dateien in einer Minute

Neben dem häufigsten Befall durch ein E-Mail-Attachment sollen auch Varianten gesichtet worden sein, die sich über „Drive-by-Downloads“ (Browser), „Water Hole“ (APT über Browser) und USB-Stick verbreiten. Einmal vollständig geladen sei „Locky“ als „Schläfer“ organisiert – er schlage also nicht sofort, sondern zeitversetzt zu, indem alle für den Benutzer mit Schreibrechten zugreifbare Dateien vieler Dateitypen verschlüsselt würden. Nach Angaben von Betroffenen bis zu 40.000 Dateien in einer Minute, ohne dass der Anwender diese Dateien wieder lesen könne.
Ein Erpressungsschreiben wird auf den befallenen Rechner gebracht, wonach gegen die Übermittlung eines Betrages in Höhe von meist ca. 400 Euro die Übermittlung des benötigten Schlüsselmaterials versprochen wird. Nach bisherigen praktischen Erfahrungen wird dieses wohl auch geliefert; die Landeskriminalämter, das BSI und alle anderen öffentlichen Stellen empfehlen aber, nicht zu zahlen, um diesen Geschäftsmodellen prinzipiell die Erfolgschancen zu nehmen.

Entkoppeltes Backup als zentrale Datensicherungsmaßname

Als häufigste Empfehlung werde zu täglichen Backups geraten, um notfalls wieder „sauber“ aufsetzen zu können. Bei „Locky“ werden indes auch Dateien verschlüsselt, die auf „Shares“ im Netz oder lokal z.B. über USB angebundenen Laufwerken liegen. Deshalb sei es für die Prävention zwingend, die Backups zu entkoppeln, also physikalisch zu trennen, bzw. zumindest dem Benutzer (und allen lokal verfügbaren technischen Accounts inklusive der lokalen Administrationsaccounts) Schreibrechte zu entziehen, da eine physikalische Entkopplung meist technisch gar nicht möglich ist.
Organisatorische Anweisungen zur physikalischen Entkopplung haben laut itWatch „statistisch erkennbar geringen Erfolg“, wenn sie nicht durch technische „Awareness“ in Echtzeit unterstützt sind. Nachhaltig sei dieses Verfahren bei einem Schläfer wie „Locky“ aber nur dann, wenn man auf dem gezogenen Backup mit 100-prozentiger Sicherheit verifizieren könne, ob das Backup selbst befallen ist oder nicht. Befallene Backups dürften nicht wieder eingespielt werden, um nicht als Quelle neuer Angriffswellen zu dienen – sie müssten automatisiert sicher vernichtet werden. Je nach der Latenzzeit des „Schlafes“ könne gar das letzte nicht infizierte Backup auch über ein halbes Jahr alt sein.

Das Darknet als Supermarkt auch für IT-Laien

Angriffe würden professionell erstellt und als Toolkit im Darknet verkauft, so dass auch IT-Laien sich ihren eigenen zusammenbauen könnten. Die Abwehr müsse deshalb professionellen Schutz implementieren, also robust gegen Angriffe sein, sonst sei sie das Geld und die Zeit nicht wert, die man zur Umsetzung benötige.
Optimal sei es natürlich, mittels einer einzigen Lösung mit einer prüfbaren und durch Experten im Schutzgrad geprüften Implementierung vor allen Bedrohungen zu schützen und trotzdem das Arbeiten des Anwenders zu unterstützen. Optimaler Schutz bestehe nur über integritätsgeschützte, als Opfersystem ausgelegte, sicher gekapselte Systeme, die keinen Durchgriff auf produktive Systeme hätten und das Ausbrechen aus einer Virtualisierung mit zusätzlichen Mitteln verhinderten.
Mit einem solchen System würden die potenziell kritischen Daten automatisch, für den Anwender nahtlos in eine virtuelle Quarantäne gebracht und dort durch die geeigneten Anwendungen geöffnet, um zu verhindern, dass potenziell enthaltener Schadcode die produktiven Systeme infiziert. In einer „Remote Controlled Session“ könne der Anwender alle aktiven Inhalte nutzen und beliebige Daten einsehen, sowie kritische Aktionen durchführen, ohne die produktive Umgebung zu gefährden.

Gefahrenquellen für die betriebliche IKT

Kritisch sei etwa das Anklicken einer problematischen URL, das Herunterladen von ausführbaren Elementen aus dem Internet, das Anstecken eines fremden, nicht in Echtzeit geprüften Peripheriegerätes, das Installieren einer unbekannten Anwendung von einem fremden Datenträger oder aber eben wie das Beispiel „Locky“ zeige, das Öffnen von E-Mail-Anhängen, welche ausführbaren Code beinhalten.
Die Virtualisierung von potenziell schädlichen Inhalten und unbekanntem Code alleine sei als Lösung jedoch zu kurz gegriffen. Erst wenn die Arbeitsergebnisse aus der virtualisierten Umgebung sicher in die Prozesse der Produktionsumgebung eingebunden würden und die Aktivitäten in der virtualisierten Welt nahtlos und barrierefrei automatisch für den Anwender eingebunden seien, schaffe das effiziente, sichere Arbeitsumgebungen, die gleichzeitig prüfbar und geschützt seien.
Dazu müssten Virtualisierung, Applikations- und Contentkontrolle sowie Verschlüsselung geeignet kombiniert werden und könnten dann die sichere und flexible Alternative zu rigiden Verboten oder physikalisch getrennten Systemen darstellen. Durch ein „Remote-Controlled-Application-System“ (ReCAppS) würden sicherheitskritische Aktionen in der produktiven Umgebung sicher erkannt und dann automatisch in eine virtualisierte Umgebung ausgelagert. Inhalte würden sowohl auf dem ReCAppS als auch auf dem produktiven Client-System des Anwenders nach den zentralen Vorgaben kontrolliert, so dass kein Schadcode ins interne Netz gerate. Wesentlich sei hierbei, dass eine Prüfung auf Schadcode etwa durch Anti-Viren-Programme nicht ausreiche, da jeder potenzielle Code, der fremd und nicht positiv authentisiert sei, erkannt werden müsse und in der virtuellen Schleuse auszuführen sei.

Warnung vor der scheinbar harmlosen E-Mail mit Anhang und vor USB-Sticks

Sogenannte Krypto-Trojaner können sich in einer auf den ersten Blick harmlosen E-Mail-Rechnung verbergen. Wer deren Anhang anklickt, infiziert seinen Rechner mit der Verschlüsselungssoftware und hat damit keinen Zugriff mehr auf seine Daten. Ist der Computer infiziert, werden durch den Trojaner alle Dateien mit vordefinierten Endungen verschlüsselt – und tragen dann zum Beispiel den Namen „*Locky“. Laut itWatch sind mehr als 100 Dateiendungen hinterlegt. Nur eine Datei sei dann noch lesbar: Die mit einer Lösegeldforderung der Erpresser, die auch eine genaue Handlungsanweisung enthalte. In der Internetwährung Bitcoin solle das Lösegeld gezahlt werden – meist ca. 400 Euro. Eine Anweisung zur Eröffnung eines Kontos in der Internetwährung schickten die Kriminellen gleich mit.
Weitere Verbreitungswege seien eben „Drive-by-Attacken, „Watering Hole“ und USB-Datenträger – darauf entweder als infiltrierter Content, der wie E-Mail-Anhänge gestaltet sei, oder – noch perfider – gleich im Controller des USB-Datenträgers verborgen. Deshalb sein in diesem Zusammenhang fremde USB-Sticks bzw. fremde Peripheriegeräte nicht weniger gefährlich, denn auch in einer Maus oder einer Tastatur könne sich ein Trojaner verbergen.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Version 2.0 / Remote-Controlled Browsers System (ReCoBS)

[datensicherheit.de, 11.09.2013] In den Monaten März bis August 2013 wurden mehr als zwei Millionen Anwender Opfer von Cyberangriffen auf Basis der Ausnutzung von Schwachstellen in der beliebten Software Java. Diese Zahl wurde jetzt von Kaspersky Lab im Rahmen einer Fallstudie veröffentlicht und basiert auf der Auswertung des Kaspersky Security Network (KSN). Eine besondere Rolle spielen dabei sogenannte Exploit-Packs, also ganze Bündel von Exploits, aus denen Cyberkriminelle die passende Variante für den Angriff auf die jeweiligen Schwachstellen in der Software eines Rechners auswählen können. Ein typisches Beispiel für solch eine Exploit-Sammlung ist BlackHole. Kaspersky Lab hat an diesem Beispiel untersucht, wie Cyberkriminelle vorgehen, und welche Schutzmaßnahmen möglich sind.

Die Ausnutzung von Schwachstellen (Exploit) bei bekannter und beliebter Anwendersoftware gehört zu den gängigsten Methoden, um in die Rechner von arglosen Nutzern einzudringen. Dabei haben Cyberkriminelle besonders Java im Visier. Bei dieser Software wurden in den vergangenen zwölf Monaten allein 161 Schwachstellen im Java Runtime Environment (JRE) entdeckt, das auf den Rechnern der meisten Anwender installiert ist. Jede dieser Schwachstellen stellt einen möglichen Angriffspunkt dar, solange sie nicht behoben wird. Da auf den Rechnern unterschiedliche Versionen von Java installiert sind, arbeiten Cyberkriminelle gleich mit einem ganzen Bündel von Exploits (Exploit-Pack) und wählen für ihren Angriff die jeweils passende Variante aus, sobald ein Anwender unwissentlich die Startseite (Landing Page) des Exploit-Packs aufruft. Das ist eine manipulierte Internetseite, auf die der Anwender geführt wird.

Ein typisches Beispiel für ein Exploit-Pack ist BlackHole. Es konzentriert sich auf Schwachstellen in den gängigen Anwenderprogrammen, darunter Adobe Reader, Adobe Flash Player, und Oracle Java. Die Experten von Kaspersky Lab haben untersucht, wie Rechner von BlackHole infiziert werden. Es steht dabei stellvertretend für andere häufig genutzte Exploit-Packs wie Nuclear Pack, Styx Pack oder Sakura.

Typische Angriffsabwehr erfolgt in mehreren Stufen

Anwender können sich sehr leicht und unbemerkt beim Surfen im Internet infizieren (Drive-by-Attacken). Die Experten von Kaspersky Lab haben Anfang 2013 für ihre Studie stellvertretend drei Exploits von Oracle Java aus der BlackHole-Sammlung ausgewertet. Diese beinhalten verschiedene Angriffsstufen, die folgendermaßen abgewehrt werden können:

• Blockieren des Aufrufs der Startseite: Einmal auf die Landing Page eines Exploit-Packs gelangt, ist der Anwender schon im Spinnennetz. Diese Seite wird von Cyberkriminellen zur genauen Spezifikation des weiteren Angriffs genutzt, zum Beispiel zur Identifikation der Schwachstellen im Rechner und zur Auswahl des passenden Exploits.
• Anti-Virus-Erkennung auf der Landing Page: Hat der Anwender die Startseite eines Exploit-Packs aufgerufen, muss diese mit einem statischen Detektor und heuristischer Analyse auf den Inhalt möglicher Schadsoftware abgeprüft werden.
• Signatur-basierte Erkennung: Wurde die Startseite nicht als schadhaft erkannt, müssen die im Browser installierten angreifbaren Plug-ins untersucht werden – so, wie es auch Cyberkriminelle tun – um jedes gefährliche Exploit an dessen Signatur erkennen und abwehren zu können.
• Proaktive Erkennung eines Exploits: Falls keine Signatur-basierte reaktive Erkennung möglich war, können Module für einen proaktiven Schutz eine heuristische Analyse des Laufzeitverhaltens des Exploits durchführen.
• Erkennung bereits geladener Schadprogramme (Payload): Ein bislang immer noch unbemerkt gebliebenes Expoit wird versuchen, eine Payload auf den Rechner des Anwenders zu laden und zu starten. Diese ist beim Download oft noch verschlüsselt und kann daher erst zum Zeitpunkt ihres Starts auf Schadhaftigkeit überprüft werden.

Häufiges Problem: Trägheit der Anwender

Die Experten von Kaspersky Lab mussten feststellen, dass sich viele Anwender unnötig den Gefahren von Exploit-Packs aussetzen, für die sich inzwischen ein regelrechter krimineller Markt entwickelt hat. „Cyberkriminelle können sich heute bereits fertige Exploit-Packs kaufen, die nur noch konfiguriert werden müssen und dann darauf warten, dass möglichst viele Opfer den Weg auf ihre Startseiten finden“, erklärt Vyacheslav Zakorzhevsky, Head of Vulnerability Research Group bei Kaspersky Lab. „Bei aller Kenntnis über die Wirkungsweise und trotz umfassender Schutzmaßnahmen der Anbieter von Sicherheitssoftware bleiben Exploit-Packs wie BlackHole auch weiterhin ein Problem. Dabei reagiert gerade im Fall von Java der Softwareanbieter recht schnell auf neu entdeckte Schwachstellen und bietet geeignete Patches an. Leider zeigen die Anwender dann keinerlei Eile, diese auch auf ihren Rechnern zu installieren – was Cyberkriminellen genügend Zeit gibt, neue Schadprogramme für bekannte Schwachstellen zu entwickeln.“

Haben Anwender keine Sicherheitssoftware, dafür aber eines der üblichen Software-Pakete installiert, das noch nicht auf den aktuellsten Stand gebracht wurde, so stellen ihre Rechner geradezu eine Einladung an Cyberkriminelle dar, zumal Infektionen über Exploit-Packs für einen unbedarften Nutzer nur schwer zu erkennen sind. Cyberkriminelle kennen viele Methoden, zum Beispiel das Verschicken von Spam-Nachrichten mit passenden Links, um Anwender auf deren Startseiten zu locken. Die gefährlichste Art ist jedoch die Manipulation legitimer Internetseiten, etwa über Skript-Codes oder iframes. Sobald die vermeintlich sauberen Seiten aufgerufen werden, kann sich das Exploit-Pack heimlich an die Arbeit machen. Oft manipulieren Cyberkriminelle dafür auch Links von Werbebannern oder anderen Teasern.

Damit neue Exploit-Packs nicht in die Netze von Sicherheitsexperten geraten und somit identifizierbar und abwehrbar werden, legen Cyberkriminelle für die IP-Adressen von Analyse-Unternehmen (Crawler, Robots, Proxy-Server) schwarze Listen an oder blockieren den Start von Exploits auf virtuellen Maschinen. Die sicherste Art, Infektionen durch Exploits aus dem Weg zu gehen, ist daher, die Anwendersoftware auf dem Rechner frei von Schwachstellen zu halten.

Weitere Informatione zum Thema:

viruslist.com
Studie von Kaspersky Lab zu Java-Exploits von BlackHole

[datensicherheit.de, 14.01.2013] Die kritische Schwachstelle in der Java-Laufzeitumgebung Version 7 Update 10, auf die das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 11. Januar hingewiesen hatte, ist geschlossen. Der Hersteller Oracle hat mit Java 7 Update 11 ein Sicherheitsupdate zur Verfügung gestellt, das auf der Webseite von Oracle zum Download zur Verfügung steht. Das BSI empfiehlt allen Internetnutzern, das Update umgehend einzuspielen. Nach Installation des Java-Sicherheitsupdates können auch die Browser Plugins wieder aktiviert und genutzt werden.

[datensicherheit.de, 11.01.2013] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist aus gegebenem Anlass auf eine kritische Schwachstelle in der aktuellen  Java-Laufzeitumgebung, Version 7 Update 10 hin. Die Schwachstelle ist bereits  in weitverbreiteten Exploit-Kits vorhanden und kann somit massiv und relativ einfach ausgenutzt werden. Aufgrund der Schwachstelle kann auf betroffenen Systemen beim Besuch einer manipulierten Webseite fremder Code ausgeführt und so beispielsweise der Rechner des Nutzers von Cyber-Kriminellen ausspioniert oder übernommen werden.

Das BSI steht bezüglich der aktuellen Schwachstelle in Kontakt mit Oracle, dem Hersteller der Java-Laufzeitumgebung. Ein Sicherheitsupdate des Herstellers gibt es derzeit nicht! Daher rät das BSI allen Internetnutzern zu prüfen, ob Java für die Arbeit am Rechner tatsächlich benötigt wird. Ist dies nicht der Fall, sollte Java über die Systemsteuerung deinstalliert werden, bis ein Sicherheitsupdate vorliegt. Wird Java außerhalb des Browsers dringend benötigt, sollten zumindest die Java Browser-Plugins für das Surfen im Internet deaktiviert und nur zeitweise für die Durchführung einzelner Anwendungen aktiviert werden.

Seit Veröffentlichung von Java 7 Update 10 können die Java-Web-Plugins über die Java-Steuerung deaktiviert werden. Für einzelne Browser findet sich unter Windows in der Systemsteuerung unter „Java“ auf dem Reiter „Sicherheit“ die Option „Java Content im Browser aktivieren“, bei der das entsprechende Häkchen nicht gesetzt sein sollte. Darüber hinaus hat das BSI Hinweise zur Deaktivierung der Plugins in den gängigen Browsertypen auf seiner Webseite unter  https://www.bsi-fuer-buerger.de/ContentBSIFB/WissenswertesHilfreiches/Service/Aktuell/Meldungen/Sicherheitsluecke-in-Java-Version_29082012.html veröffentlicht.

Nicht betroffen ist nach derzeitigem Erkenntnisstand des BSI die Java-Laufzeitumgebung Version 6. Sobald ein Sicherheitsupdate des Herstellers für die Version 7 vorliegt, wird das BSI darüber informieren.

[datensicherheit.de, 02.09.2012] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 27. August 2012 im Rahmen des Informations- und Warndienstes Bürger-CERT auf eine kritische Sicherheitslücke in der Java-Laufzeitumgebung, Version 7, hingewiesen. Der Hersteller der Java-Laufzeitumgebung, das Unternehmen Oracle, hat am 30. August 2012 mit Java 7 Update 7 ein außerplanmäßiges Sicherheitsupdate veröffentlicht. Das BSI empfiehlt Computernutzern, die die Java-Laufzeitumgebung benötigen, dieses Sicherheitsupdate schnellstmöglich zu installieren.
Um einen Zeitverzug durch die automatische Update-Funktion der Software zu vermeiden, empfiehlt das BSI, die aktuelle Java-Version manuell zu installieren. Die aktuelle Java-Software steht auf der Webseite des Herstellers unter http://www.java.com/de/download/manual.jsp zum Download bereit.
Mit dem Sicherheitsupdate wird die kritische Schwachstelle geschlossen, die bereits seit mehreren Tagen aktiv durch den Besuch von präparierten Webseiten ausgenutzt wird. Des Weiteren werden mit dem Sicherheitsupdate auch drei weitere Schwachstellen geschlossen, von denen zwei ebenfalls als kritisch bewertet wurden.
Internetnutzern hatte das BSI empfohlen, die Java Plug-Ins ihres Internet-Browsers zu deaktivieren. Nach Installation des Java-Sicherheitsupdates können auch die Browser Plug-Ins wieder aktiviert und genutzt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 29.08.2012
BSI warnt: Kritische Sicherheitslücke in Java-Version 7 wird ausgenutzt

[datensicherheit.de, 29.08.2012] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 27. August 2012 im Rahmen des Informations- und Warndienstes Bürger-CERT auf eine kritische Sicherheitslücke in der Java-Laufzeitumgebung, Version 7, und deren mögliche massive Ausnutzung hingewiesen. Diese Möglichkeit ist nach Erkenntnissen des BSI jetzt eingetreten: Die Java-Sicherheitslücke wird in mehreren europäischen Ländern, darunter auch in Deutschland, mithilfe von kompromittierten Werbebannern, die auch auf seriösen Webseiten geschaltet sein können, aktiv zur Infektion von Rechnern ausgenutzt. So werden beispielsweise in Norwegen und in den Niederlanden unter Ausnutzung der Java-Sicherheitslücke Werbebanner genutzt, um die Banking-Trojaner „Citadel“ und „Hermes“ auf Systeme zu bringen und die Online-Banking-Transaktionen der Nutzer zu manipulieren. Zudem können andere manipulierte Java-Applets auf Webseiten ausgenutzt werden, um Schadsoftware auf den Rechnern der Opfer auszuführen. Hierfür reicht bereits das Ansurfen einer manipulierten Webseite aus.
Ein Sicherheitsupdate des Herstellers der Java-Laufzeitumgebung liegt derzeit nicht vor. Daher rät das BSI allen Internetnutzern zu prüfen, ob Java für die Arbeit am PC tatsächlich benötigt wird. Ist dies nicht der Fall, so sollte Java deaktiviert oder deinstalliert werden, bis ein Sicherheitsupdate vorliegt. Wird Java dringend benötigt, so sollten dennoch die Java Browser-Plug-Ins für das Surfen im Internet deaktiviert und nur zeitweise für die Durchführung einzelner Anwendungen aktiviert werden.

[datensicherheit.de, 15.04.2012] Eine aktuelle Warnung von TREND MICRO bezieht sich auf eine E-Mail-Angriffskampagne, die sich als Einladung zu einem tibetischen Filmfestival tarne:
Wer auf die in der Nachricht enthaltene Webadresse klickt, laufe Gefahr, seinen Rechner mit einer Spionagesoftware zu infizieren. Diese sei in der Lage, sämtliche Dateien und Verzeichnisse zu durchforsten und Daten an den Befehls- und Kontrollserver zu übertragen. Betroffen seien sowohl „Windows“- als auch „Mac-OS-X“-Nutzer.
Dieser Angriff reihe sich laut TREND MICRO in eine ganze Serie von Angriffen ein, die das Interesse vieler Menschen an Tibet missbrauchten, darunter auch gezielte Angriffe. Außerdem nähmen diese Angriffe zunehmend Mac-Besitzer ins Visier und machten auch vor der neuen Betriebssystemversion „Mac OSX“ nicht halt. Gerade Mac-Anwender sollten gewarnt sein und sich nicht mehr in falscher Sicherheit wiegen – es sei gerade der Erfolg dieser Plattform, der die Spielregeln ändere und Apple-Kunden zu einem lohnenden Angriffsziel für Cyber-Kriminelle mache. TREND MICRO rät Anwendern daher dringend, ihre Systeme und Anwendungen auf dem aktuellen Stand zu halten und Sicherheitsaktualisierungen so schnell wie möglich zu installieren. Die bei diesem Angriff ausgenutzte Sicherheitslücke habe Oracle schon seit Längerem geschlossen. Kunden von TREND MICRO seien vor der beschriebenen Attacke über die Reputationsdienste des „Trend Micro Smart Protection Network“ geschützt.
Unternehmen, die sich vor Angriffen über Sicherheitslücken schützen wollen, aber aus Aufwands- und Kostengründen ihre Endpunkte nur in größeren zeitlichen Abständen aktualisieren können, sollten die Möglichkeit des virtuellen Patchens in Betracht ziehen – TREND MICRO empfiehlt seinen Kunden insbesondere zwei Lösungen, mit denen sich Sicherheitslücken schnell und kostengünstig schließen lassen, nämlich „Deep Security“ sowie „OfficeScan“ mit dem „Intrusion Defense Firewall-Plugin“.