Wie aus einem Blogbeitrag der IT-Sicherheitsspezialisten von Armorize hervorgeht, wurde die offizielle Website der Datenbank MySQL (mysql.com) von Crackern mit einem bösartigen JavaScript versehen. Der Browser eines jeden Besuchers der Site wird durch das Skript unbemerkt auf einen beziehungsweise mehrere andere Webserver weitergeleitet, auf denen das Exploit-Pack BlackHole lauert.

BlackHole untersucht den PC des potentiellen Opfers automatisch auf nicht geschlossene Sicherheitslücken in installierten Anwendungen wie Browsern, Suns Java, Adobe Acrobat oder Adobe Flash. Wird eine Schwachstelle entdeckt, schleust das Exploit Pack automatisch Malware auf den PC. Zum Zeitpunkt der Entdeckung wurde die die verwendetet Schadsoftware laut Armorize nur von vier der 44 von VirusTotal verwendeten Virenscannern erkannt. Inzwischen ist die Zahl auf neun von 44 gestiegen. Die Installation der Malware geschieht gänzlich ohne Zutun das Anwenders und gehört damit zu den klassischen Drive-by-Infektionen.

Zwar wurde der Armorize-Blogbeitrag noch nicht um den Hinweis ergänzt, dass das bösartige JavaScript entfernt wurde. Wie der US-Journalist Brian Krebs aber schreibt, teilte ihm ein Armorize-Mitarbeiter mit, dass die MySQL-Seite gesäubert wurde.

Krebs schreibt außerdem, dass er in der vergangenen Woche in einem russischen Untergrundforum auf einen Beitrag stieß, in dem ein Cracker den Zugang zu mysql.com für 3000 US-Dollar anbot. Ob dieses Angebot und die Infektion mit dem Skript in einem Zusammenhang stehen, ist unklar.

Klar ist hingegen, wie gefährlich die Attacke auf eine derartig frequentierte Site wie mysql.com sein kann: Laut Krebs greifen pro Tag mehr als 400.000 Anwender auf die Website zu. Selbst wenn das bösartige Skript nur sieben Stunden lang aktiv war, hätten so mehr als 100.000 PCs mit Malware infiziert werden können.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.