Analyse des Windows-Zero-Day-Exploit Stuxnet

Stuxnet ist viel gefährlicher als Conficker!

Seite: 2/2

Firmen zum Thema

Wie gefährlich ist Stuxnet denn für Unternehmen und Privatanwender? Sind nur Firmen mit SCADA-Datenbanken betroffen?

So einfach ist es leider nicht. Niemand weiß hundertprozentig, welche Schadensroutinen in den Stuxnet-Treibern hinterlegt sind – und ob vom Programmierer nicht vielleicht noch weitere Programmteile nachgeladen werden können. Hinzu kommt, dass die Hackerszene längst eine ganze Reihe von Nachfolgegenerationen entwickelt hat. Diese neuen Viren basieren auf dem gleichen Exploit, greifen aber auf ganz andere Art und Weise an – zum Beispiel, indem sie auf infizierten Systemen einen Keylogger installieren und versuchen, Passwörter zu stehlen. Solange der Link-Exploit nicht gepatcht ist, ist das Gefährdungspotenzial enorm.

Hat Microsoft nicht schon ein Fix-it-Tool bereitgestellt?

Ja, es gibt Workarounds von Microsoft und verschiedenen Security-Herstellern. Für Business-Umgebungen sind die bislang veröffentlichten Ansätze aber nur bedingt praktikabel – in einem Unternehmen einfach die Link-Anzeige zu deaktivieren oder die Ausführung von EXE-Dateien über das Netzwerk zu unterbinden, ginge viel zu sehr zulasten der Produktivität.

Wie schwer ist es denn, den Link-Exploit für Angriffe auszunutzen?

Mit den richtigen Tools leider viel zu leicht. Seit 20. Juli ist im MetaSploit-Framework der erste Bausatz verfügbar, der den Link-Exploit ausnutzt. Mit diesem Tool kann jeder Teenager mit grundlegenden Computerkenntnissen binnen einer Stunde eine infizierte Link-Datei erzeugen. Die muss er dann nur noch auf einen USB-Stick ziehen oder per Netzwerk- oder Internetfreigabe verteilen – und sobald ein anderer den Ordner mit der Datei öffnet, kann der Hacker das Zielsystem übernehmen.

Wie können sich Unternehmen denn vor dem Link-Exploit schützen?

Ein wichtiger erster Schritt ist natürlich ein aktueller Virenscanner. Immer mehr AV-Produkte schlagen inzwischen auf die Stuxnet-Treiber an. Aber nachdem immer wieder neue Varianten des Exploits auftauchen, wird der Malware mit patternbasierten Filtern allein nicht beizukommen sein. Die Security-Abteilungen sollten daher mehr denn je darauf achten, den Einsatz von USB-Sticks streng zu reglementieren. Am besten wäre es, den Einsatz unternehmensfremder Sticks für den Moment komplett zu untersagen.

Unternehmen, die auf USB-Sticks nicht verzichten können, sollten sich mittelfristig überlegen, eine dedizierte USB-Port-Security-Lösung zu implementieren, die bei virenverseuchten Sticks automatisch Alarm schlägt. Auch beim Surfen im Internet sollten die User im Moment besonders vorsichtig sein. Der Link-Exploit kann ja über die Dateifreigabe auch über das Web ausgenutzt werden. Am besten also nur auf hundertprozentig vertrauenswürdige Seiten gehen – und selbst da bleibt bis zum Patch ein Restrisiko.

Update der Redaktion:

Am Abend des 02. August 2010 veröffentlichte Microsoft das Security Bulletin MS10-046 und damit einen Patch, der die Shell-Sicherheitslücke endlich schließt.

Artikelfiles und Artikellinks

(ID:2046445)