Minecraft-Spieler und diejenigen, die Minecraft-Server betreiben, sind mit einer neuen und gefährlichen Sicherheitslücke konfrontiert, die es Kriminellen ermöglichen könnte, Remote-Code auf ihren Computern auszuführen. Der von einer Benutzergruppe namens MMPA (Minecraft Malware Prevention Alliance) getaufte Exploit „BleedingPipe“ nutzt Java-Deserialisierung, um Server oder Clients zu infizieren, auf denen eine der vielen beliebten Mods installiert ist. Wenn Sie Minecraft nicht auf einem Server spielen, der über eine der Mods verfügt, und die Mods nicht verwenden, können Sie nicht infiziert werden.
Die Anzahl anfälliger Minecraft-Mods ist groß. Ein deutscher Informatikstudent, der sich auf GitHub Dogboy21 nennt, hat drei Dutzend beliebte Mods identifiziert, die die Schwachstelle aufweisen, von AetherCraft über Immersive Armors bis hin zu ttCore. Github von Dogboy21 Auf der Seite gibt es auch einen Patch, um das Problem zu beheben. Dazu gehört das Erstellen einer neuen JAR-Datei, die Sie in Ihren Mods-Ordner einfügen können. Der MMPAs Blogbeitrag listet noch mehr betroffene Mods auf und behauptet, dass insbesondere Modpacks der Versionen 1.7.10 und 1.12.2 anfällig seien.
BleedingPipe nutzt ein Problem mit der ObjectInputStream-Klasse in Java aus. Ein Hacker kann dem Server Daten mit Code zuführen, der etwas Bösartiges bewirkt, und wenn der Server dann den Code empfängt und ihn „deserialisiert“ (indem er ihn von einer Binärdatei in ein Objekt umwandelt), wird dieser Code auf der Serverseite ausgeführt. Wenn der Server selbst infiziert ist, könnte er in ähnlicher Weise Binärdaten an einen Client (einen Player) zurücksenden, dessen PC sie lokal deserialisiert und den Code ausführt.
Es gibt ein fantastisches YouTube-Video, das erklärt, wie Deserialisierungsschwachstellen im PwnFunction-Kanal funktionieren.
Wenn ein böswilliger Akteur in der Lage ist, Code entweder auf der Server- oder auf der Clientseite auszuführen, sind die Möglichkeiten nahezu unbegrenzt. Sie könnten Möglichkeiten finden, Ihre Benutzerdaten zu exfiltrieren und für Identitätsdiebstahl zu verwenden, oder sie könnten Ihren Computer übernehmen und ihn für Botnet-Angriffe auf andere Systeme verwenden.
Anfang Juli betrieb ein Spieler namens Yoyoyopo5 einen öffentlichen Server mit Forge 14.23.5.2860-Mods und während eines Livestreams nutzte ein böswilliger Benutzer BleedingPipe aus, um die Kontrolle zu erlangen und Code auf den Geräten aller verbundenen Spieler auszuführen. In seinem Beitrag zum VorfallYoyoyopo5 sagt, dass der Hacker den Remote-Code verwendet habe, um Browser-, Discord- und Steam-Sitzungsinformationen zu stehlen.
Laut MMPA hat ein böswilliger Akteur alle Minecraft-Server im IPv4-Adressraum gescannt und ihnen möglicherweise eine bösartige Nutzlast bereitgestellt. Daher könnte jeder Server, auf dem ein betroffener Mod läuft, infiziert sein.
BleedingPipe ähnelt einem anderen kürzlich entdeckten Exploit in Log4j, einer Java-Protokollierungsbibliothek, ist aber offenbar nicht mit diesem identisch. Minecraft.net, eine offizielle Microsoft-Website, enthält eine Warnung Abhilfemaßnahmen für Log4j Verletzlichkeit.
Was sollten Sie also tun, um sich zu schützen? Wenn Sie ein Spieler sind, der auf den Servern anderer Leute spielt, empfiehlt MMPA, in Ihrem .minecraft-Verzeichnis mit einem Scanner wie z. B. nach infizierten Dateien zu suchen JSus oder jNadel. Dogboy21 empfiehlt seinen Patch herunterladen wenn Sie einen der Mods verwenden.
Wenn Sie einen Server betreiben, empfiehlt MMPA, JSus oder jNeedle auf allen Ihren installierten Mods auszuführen. MMPA empfiehlt außerdem ein Update auf die neuesten Versionen von EnderIO oder LogisticsPipes, falls Sie diese verwenden. Es heißt auch, dass Sie den „GT New Horizons“-Zweig von BDLib verwenden sollen, falls Sie diesen verwenden. Die Gruppe hat auch einen eigenen Sicherheits-Mod namens erstellt PipeBlockerdas diese Angriffe blockieren soll.