X

Warnung vor Remote-Code-Exploit in Minecraft-Mods von Drittanbietern

Es ist ein alter Bekannter der Java-Community: der BleedingPipe-Exploit zieht mal wieder seine Runden durch Minecraft. Fehler im Code von Drittanbieter-Mods erlauben weitreichenden Zugang. Experten raten Server-Admins und Spielern zu handeln.
Microsoft
31.07.2023  18:20 Uhr

Java-Deserialisierung: Minecraft-Mods liefern Einfallstor

Ein großer Reiz an Minecraft sind die weitreichenden Möglichkeiten, das Spiel durch Mods zu verändern. Die Minecraft Malware Prevention Alliance (MMPA) warnt jetzt erneut vor einem Exploit, der der Community schon seit über einem Jahr bekannt ist. "BleedingPipe" nutzt die Java-Deserialisierung, um Server oder Clients zu infizieren, auf denen bestimmte Mods installiert sind. Das Problem: Der Fehler klafft in sehr vielen der beliebtesten Anpassungs-Pakete. Tom's Hardware verweist in seinem Bericht auf die Arbeit eines deutschen Informatikstudenten, der auf GitHub unter dem Namen Dogboy21 aktiv ist. Der hat eine Liste von über 30 Mods zusammengestellt, von denen aktuell bekannt ist, dass sie die Sicherheitslücke aufweisen - darunter beliebte Pakete wie AetherCraft, Immersive Armors oder ttCore. Dogboy21 stellt hier auch einen relativ einfachen Fix bereit. Dafür muss eine neue JAR-Datei in dem Mod-Ordner hinterlegt werden.


Wie die MMPA in ihrer Warnung beschreibt, ist die Entwicklung von BleedingPipe schon seit Anfang 2022 zu beobachten. Nach der ersten Entdeckung musste man demnach feststellen, "dass ein bösartiger Akteur alle Minecraft-Server im IPv4-Adressraum gescannt hatte, um verwundbare Server massenhaft auszunutzen". Ein Vorfall im Juli hatte gezeigt, dass ein Angreifer auf diesem Weg die Kontrolle über einen öffentlichen Server mit Mods (Forge 14.23.5.2860) übernommen und Code bei allen angeschlossenen Clients ausgeführt hatte.

Was tun, um sich zu schützen?

Die MMPA empfiehlt allen Spielern, die auf nicht offiziellen Servern spielen, das .minecraft-Verzeichnis mit einem Scanner wie JSus oder jNeedle auf infizierte Dateien zu überprüfen. Wie oben erwähnt, steht auf Github außerdem ein Patch für die Sicherheitslücke in den Mods bereit. Als Server-Betreiber sollten mit Werkzeugen wie JSus oder jNeedle alle installierten Mods gescannt werden. Sind EnderIO oder LogisticsPipes im Einsatz, sollten diese auf die neueste Version gebracht werden, dasselbe gilt für die "GT New Horizons"-Fork von BDLib.

Zusammenfassung
  • "BleedingPipe"-Exploit nutzt Java, um Server oder Clients zu infizieren.
  • Fehler in Code von Drittanbieter-Mods erlaubt weitreichenden Zugang.
  • Bösartiger Akteur hatte massenhaft verwundbare Server gescannt.
  • Liste von über 30 Mods mit Sicherheitslücke auf GitHub.
  • Server-Admins und Spieler sollten Mods scannen und aktualisieren.
  • MMPA empfiehlt Scan und Patch auf Github.
  • Server-Admins sollten Mods mit JSus oder jNeedle scannen.
Verwandte Themen
Minecraft
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture