Analyse des Windows-Zero-Day-Exploit Stuxnet

Stuxnet ist viel gefährlicher als Conficker!

04.08.2010 | Redakteur: Peter Schmitz

Martin Dombrowski, Ethical Hacker und System Engineer bei entrada, analysiert seit dem ersten Auftreten die Bedrohung durch das Stuxnet Rootkit.
Martin Dombrowski, Ethical Hacker und System Engineer bei entrada, analysiert seit dem ersten Auftreten die Bedrohung durch das Stuxnet Rootkit.

Stuxnet konnte sich durch Ausnutzung der LNK-Schwachstelle in der Windows Shell und durch Verbreitung über infizierte USB-Sticks auch Zugang zu Rechnern verschaffen, die nicht mit dem Internet verbunden waren. Ziel des Schädlings war offensichtlich Industriespionage. Martin Dombrowski, Ethical Hacker und System Engineer beim Security-Distributor entrada, beschäftigt sich seit dem ersten Erscheinen des Rootkits Stuxnet mit dem neuen Windows-Link-Exploit. Im Interview verrät er, was die neue Sicherheitslücke so gefährlich macht und wie sich Unternehmen davor schützen können.

Jedes Jahr tauchen Millionen neuer Schadprogramme auf. Was macht gerade Stuxnet so besonders?

Stuxnet tauchte im Juni 2010 in Weißrussland beim Antivirus-Hersteller VirusBlokAda auf, der die Software als erster analysierte. Dabei zeigte sich, dass es sich um ein äußerst innovatives und brandgefährliches Spionage-Tool handelt, das ursprünglich zum Auslesen von industriellen Siemens-SCADA-Datenbanken bestimmt war und eine ganze Reihe einzigartiger Technologien enthält.

Wie funktioniert Stuxnet?

Stuxnet nutzt eine nach wie vor ungepatchte Sicherheitslücke im Windows-Link-Format, um Fremdsysteme zu infizieren (Anm. d. Red.: Am 02.08.10 veröffentlichte Microsoft endlich den lang erwarteten Patch): Windows ist so programmiert, dass LNK-Dateien auf Wechseldatenträgern oder in freigegebenen Netzwerkordnern automatisch zur Voransicht ausgeführt werden, sobald der Anwender den entsprechenden Ordner öffnet. Genau diese automatische Ausführung nutzt Stuxnet, um einen Buffer-Overflow zu verursachen und dann Schadcode in das System einzuschleusen.

So ähnlich wie die USB-Variante von Conficker?

Nein – Stuxnet ist viel gefährlicher! Bei Conficker mussten die Anwender entweder auf einen Link doppelklicken oder die autorun.ini für USB-Laufwerke aktiviert haben, um sich zu infizieren. Das ließ sich gut in den Griff bekommen, indem einfach die entsprechende Routine abgeschaltet wurde. Bei Stuxnet ist die Infektionsgefahr viel höher: Doppelklick auf Arbeitsplatz, Doppelklick auf das Wechseldatenträgerlaufwerk, um zu schauen, was auf dem Stick ist – und schon ist der Rechner infiziert. Hinzu kommt, dass die Schwachstelle alle aktuellen Betriebssystemversionen betrifft: Windows XP, Windows Vista, Windows 7, Windows Server 2003 und Windows Server 2008.

Und was passiert, wenn die Software ausgeführt wird?

Stuxnet installiert automatisch zwei Treiberdateien: mrxnet.sys und mrxnet.cls. Die enthalten beide den Schadcode, der die Datenbanken der Prozessteuerungssoftware Siemens Win CC SCADA ausliest – eine klassische Industriespionagesoftware. Außerdem tarnen die Treiber Stuxnet durch gängige Rootkit-Mechanismen vor der Entdeckung durch Virenscanner.

Müsste Windows bei der Ausführung der Treiber nicht wegen fehlender Treiber-Signaturen Alarm schlagen?

In der Theorie schon. Aber die Treiberdateien sind signiert. Stuxnet nutzte zunächst Originaltreiber des Herstellers Realtek. Woher die Signaturen stammen, ist nicht bekannt. Sie waren zwar abgelaufen, aber von den Virenprogrammierern mithilfe eines sogenannten Countersignings mit einem gefälschten Zeitstempel versehen worden. Für Windows sahen die Treiber also legitim aus. Und nachdem das fragliche Realtek-Zertifikat gesperrt worden war, tauchten binnen weniger Tage die ersten Stuxnet-Variationen mit einer offenbar gestohlenen Signatur von JMicron Technology auf. Es ist beängstigend, dass Virenprogrammierer dieses zentrale Sicherheitsfeature zweimal so einfach aushebeln konnten.

Seite 2: Wie gefährlich ist Stuxnet denn für Unternehmen und Privatanwender? Sind nur Firmen mit SCADA-Datenbanken betroffen?

 

Stuxnet: Chronologie eines Exploits

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2046445 / Sicherheitslücken)