Bleeding Pipe Sicherheitslücke kann Server oder die Heimcomputer der Spieler infizieren. Minecraft-Spieler und Betreiber von Minecraft-Servern sind mit einer neuen und gefährlichen Sicherheitslücke konfrontiert, die es Bösewichten ermöglichen könnte, Remote-Code auf ihren Computern auszuführen.
Die von einer Benutzergruppe namens MMPA (Minecraft Malware Prevention Alliance) als „BleedingPipe“ bezeichnete Schwachstelle nutzt die Java-Deserialisierung, um Server oder Clients zu infizieren, auf denen eine der vielen beliebten Mods installiert ist. Wenn Sie Minecraft nicht auf einem Server spielen, auf dem einer der Mods installiert ist, und die Mods nicht verwenden, können Sie nicht infiziert werden.
Mehr als 36 Mods betroffen!
Die Zahl der anfälligen Minecraft-Mods ist groß. Ein deutscher Informatikstudent, der sich auf GitHub Dogboy21 nennt, hat drei Dutzend populäre Mods identifiziert, die die Schwachstelle aufweisen, von AetherCraft über Immersive Armors bis zu ttCore. Auf der Github-Seite von Dogboy21 gibt es auch einen Patch, der das Problem behebt. Dazu muss eine neue JAR-Datei in den Mods-Ordner kopiert werden. Der Blogpost des MMPA listet noch mehr Mods auf, die betroffen sind, und behauptet, dass insbesondere die Modpacks der Versionen 1.7.10 und 1.12.2 anfällig sind.
BleedingPipe macht sich ein Problem mit der ObjectInputStream-Klasse in Java zunutze. Ein Hacker kann den Server mit Daten füttern, die einen bösartigen Code enthalten. Wenn der Server den Code empfängt und ihn „deserialisiert“ (von einem Binärcode in ein Objekt umwandelt), wird dieser Code auf der Serverseite ausgeführt. Wenn der Server selbst infiziert ist, könnte er Binärdaten an einen Client (einen Spieler) weiterleiten, dessen PC sie lokal deserialisiert und den Code ausführt.
Gefährliche Sicherheitslücke
Auf dem PwnFunction-Kanal gibt es ein fantastisches YouTube-Video, das erklärt, wie Deserialisierungsschwachstellen funktionieren.
Wenn ein böser Akteur in der Lage ist, Code entweder auf der Server- oder der Client-Seite auszuführen, sind die Möglichkeiten nahezu unbegrenzt. Sie könnten Wege finden, Ihre Benutzerdaten zu exfiltrieren und sie für Identitätsdiebstahl zu nutzen oder Ihren Computer zu übernehmen und ihn für Botnet-Angriffe auf andere Systeme zu verwenden. Anfang Juli betrieb ein Spieler, der sich Yoyoyopo5 nennt, einen öffentlichen Server mit den Mods Forge 14.23.5.2860. Während eines Livestreams nutzte ein böswilliger Benutzer BleedingPipe aus, um die Kontrolle zu erlangen und Code auf allen verbundenen Geräten der Spieler auszuführen. In seinem Beitrag über den Vorfall sagt Yoyoyopo5, dass der Hacker den Remote-Code verwendet hat, um Browser-, Discord- und Steam-Sitzungsdaten zu stehlen.
Nach Angaben der MMPA hat ein bösartiger Akteur alle Minecraft-Server im IPv4-Adressraum gescannt und möglicherweise eine bösartige Nutzlast auf ihnen platziert. Jeder Server, auf dem eine betroffene Mod läuft, könnte also infiziert sein. BleedingPipe ähnelt einer anderen, kürzlich entdeckten Schwachstelle in Log4j, einer Java-Protokollierungsbibliothek, ist aber offenbar nicht mit ihr identisch. Minecraft.net, eine offizielle Microsoft-Website, hat eine Warnung sowie Abhilfemaßnahmen für die Log4j-Schwachstelle veröffentlicht.
Wie kann man sich schützen?
Was sollten Sie also tun, um sich zu schützen? Wenn Sie auf fremden Servern spielen, empfiehlt MMPA, mit einem Scanner wie JSus oder jNeedle nach infizierten Dateien in Ihrem .minecraft-Verzeichnis zu suchen. Dogboy21 empfiehlt, seinen Patch herunterzuladen, wenn Sie eine der Mods verwenden.
Wenn Sie einen Server betreiben, empfiehlt MMPA, JSus oder jNeedle für alle installierten Mods zu verwenden. MMPA schlägt außerdem vor, auf die neuesten Versionen von EnderIO oder LogisticsPipes zu aktualisieren, wenn Sie diese verwenden. Außerdem wird empfohlen, den „GT New Horizons“-Fork von BDLib zu verwenden, falls Sie diesen einsetzen. Die Gruppe hat auch ihre eigene Sicherheitsmod namens PipeBlocker entwickelt, die diese Angriffe abwehren soll.