Unzureichender Zertifikatsschutz bei Java

Internetkriminelle nutzten offenbar eine Sicherheitslücke in der Werbeplattform OpenX aus, um die Webseite Beolingus der TU Chemnitz mit einer Variante des g01pack-Exploit-Kits zu infizieren. Das Kit aktivierte schließlich ein Java-Applet, das aufgrund seiner digitalen Signatur berechtigt ist, die Java-Sandbox zu verlassen, dann Programme aus dem Netz zu laden und auf dem Rechner des Nutzers zu installieren.

Als der Blogger Eric Romang das Online-Wörterbuch Beolingus der TU Chemnitz aufrief, musste er zuerst die Ausführung der Java-Anwendung genehmigen. Doch als er das „Java ClearWeb Security Update“ mit der vermeintlich gültigen digitalen Signatur der US-Firma Clearesult Consulting Inc mit „Run“ aktivierte, lud er sich einen Trojaner auf seinen Rechner. Die TU Chemnitz hat jedoch schnell reagiert und den Schadcode kurz nach Bekanntwerden der Infektion entfernt. Es dürften also nur wenige Nutzer tatsächlich betroffen gewesen sein.

Allerdings könnten die Täter den gleichen Schadcode auch auf andere Websites einschleusen. Die eigentliche Gefährdung geht von den unzureichenden Java-Sicherheitseinstellungen aus. Denn das gestohlene Code-Signing-Zertifikat wurde bereits zum 7.12.2012 vom Herausgeber Godaddy gesperrt. Die Zertifikatsprüfung war jedoch nicht in der Lage, den Schadcode mit dem gestohlenen Zertifikat zu erkennen. Eigentlich hätte sie die Widerrufsliste vom CRL Distribution Point (OCSP) abfragen und sofort erkennen müssen, dass das Zertifikat nicht mehr gültig ist. Doch tatsächlich gibt die seit Java 7 Update 11 geltende Standard-Sicherheitseinstellung nur bei unsignierten Java-Programmen eine Warnmeldung heraus, statt das Zertifikat mit einer Sperrliste abzugleichen. Ein signiertes Java-Programm läuft nicht in der Sandbox und darf beliebigen Code auf dem Rechner ausführen.

Wer Java bereits seit längerem installiert und regelmäßig aktualisiert hat, verwendet wahrscheinlich noch die älteren und sichereren Einstellungen. Erst bei einer Neuinstallation ab Java 7 Update 11 wurden die Einstellungen verändert. Gehen Sie in der Systemsteuerung auf „Java“ und auf die Registerkarte „Erweitert“. Unter „Erweiterte Sicherheitseinstellungen“ sollte ein Häkchen vor „Entzug von Zertifikaten mit CLRs (Certificate Revocation Lists) prüfen“ und „Onlinezertifikatsvalidierung aktivieren“ gesetzt sein.

In jedem Fall sollte man vorsichtig sein, wenn Java-Applets auf Webseiten starten wollen, auf denen man Java eigentlich nicht erwartet. Es ist am sichersten, das Java-Plug-in im Browser nur für Websites zu aktivieren, die es tatsächlich erfordern.

Firefox-Nutzer können dazu ein Add-on verwenden, über das sich das Java-Plug-in bei Bedarf schnell aktivieren und wieder deaktivieren lässt, beispielsweise QuickJava. Wenn Sie lieber explizit zustimmen möchten, wenn eine Webseite Java oder andere Plug-ins verwenden will, installieren Sie Enable Click to Play.