Java-Schwachstelle wird aktiv ausgenutzt

Die geknackten DNS-Zonen sind laut SANS schon einige Wochen ein Problem. Bisher haben sich die Bösewichte aber auf das Ausliefern von Porno oder diverser Werbung für Arzneimittel beschränkt. Nun scheinen die Cyberkriminelle aggressiver vorzugehen und liefern Schadcode aus- genau genommen eine Kopie des BlackHole Exploit Kits. Die dafür benutzte IP-Range ändert sich alle drei bis vier Tage.

Der Exploit-Code prüft, welche Java-Version im Einsatz ist. Sollte es sich nicht um die aktuellste Version handeln, wird der Schadcode ausgeführt. Man geht davon aus, dass viele Anwender nicht die aktuellste Java-Ausgabe einsetzen.

Der Exploit-Code für CVE2011-3544 wird nur von ungefähr der Hälfte aller Anti-Virenhersteller erkannt (VirusTotal). Administratoren sollte die Proxy-Logdateien auf v1.jar und v1.class durchsuchen. Somit könnten sie mögliche Infektionen aufspüren. Wer Java nicht unbedingt braucht, sollte es am besten komplett vom Rechner verbannen. (jdo)