MySQL.com gehackt, um Schadcode auszuliefern – ist in der Zwischenzeit repariert

Nicht nur kernel.org wurde kompromittiert, sondern auch MySQL.com und hat Schadcode ausgeliefert. In der Zwischenzeit wurde das Problem aber behoben. Die Cyberkriminellen haben ein Script eingeschleust, dass Anwender auf eine Webseite umgeleitet hat. Diese nutzte den BlackHole Exploit Pack. Damit wird der Browser untersucht und ein entsprechender Angriff gestartet. Sicherheits-Experte Brian Krebs hat vor wenigen Tagen gesehen, dass root-Zugriff auf MySQL.com für 3000 US-Dollar feilgeboten wurde.

Armorize war der Erste, der im Detail beschrieb, wie der Angriff funktioniert – seehr detailliert übrigens. Code-Beispiele gibt es obendrein.

Sobald BlackHole Exploit Pack ein Stück anfällige Software entdeckt hat, versucht es Schadcode permanent zu installieren. Der Besucher braucht dabei nicht aktiv werden. Es passiert alles im Hintergrund und der ahnungslose Nutzer bekommt nichts von dem üblen Treiben mit.

Der Schadcode selbst wird nur von vier von 44 Sicherheits-Software-Pakete auf Virustotal erkannt. Was die Malware genau tut, beschreibt allerdings niemand. MySQL.com ist mit zwölf Millionen Besuchern pro Monat natürlich ein lukratives Ziel. Die kompromittierte Seite war immerhin sieben stunden online. Somit waren wohl ungefähr 12.000 Besucher dem angriff ausgesetzt.

Die Ironie an der Geschichte ist laut Krebs, dass Oracle der Besitzer von MySQL.com ist – denen gehört auch Java. Und Java steht auf der Top-Liste wenn es um Schwachstellen und Angriffpunkte geht. Java Exploits sind die effektivsten Angriffe in Exploit Kits wie BlackHole. Derzeit greifen vier der neun Exploits in BlackHole Java-Schwachstellen an.

Armorize hat übrigens ein Video zur Verfügung gestellt, wie so ein Angriff vor sich geht.