Analyse des Windows-Zero-Day-Exploit Stuxnet Stuxnet ist viel gefährlicher als Conficker!

Redakteur: Peter Schmitz

Stuxnet konnte sich durch Ausnutzung der LNK-Schwachstelle in der Windows Shell und durch Verbreitung über infizierte USB-Sticks auch Zugang zu Rechnern verschaffen, die nicht mit dem Internet verbunden waren. Ziel des Schädlings war offensichtlich Industriespionage. Martin Dombrowski, Ethical Hacker und System Engineer beim Security-Distributor entrada, beschäftigt sich seit dem ersten Erscheinen des Rootkits Stuxnet mit dem neuen Windows-Link-Exploit. Im Interview verrät er, was die neue Sicherheitslücke so gefährlich macht und wie sich Unternehmen davor schützen können.

Firmen zum Thema

Martin Dombrowski, Ethical Hacker und System Engineer bei entrada, analysiert seit dem ersten Auftreten die Bedrohung durch das Stuxnet Rootkit.
Martin Dombrowski, Ethical Hacker und System Engineer bei entrada, analysiert seit dem ersten Auftreten die Bedrohung durch das Stuxnet Rootkit.
( Archiv: Vogel Business Media )

Jedes Jahr tauchen Millionen neuer Schadprogramme auf. Was macht gerade Stuxnet so besonders?

Stuxnet tauchte im Juni 2010 in Weißrussland beim Antivirus-Hersteller VirusBlokAda auf, der die Software als erster analysierte. Dabei zeigte sich, dass es sich um ein äußerst innovatives und brandgefährliches Spionage-Tool handelt, das ursprünglich zum Auslesen von industriellen Siemens-SCADA-Datenbanken bestimmt war und eine ganze Reihe einzigartiger Technologien enthält.

Wie funktioniert Stuxnet?

Stuxnet nutzt eine nach wie vor ungepatchte Sicherheitslücke im Windows-Link-Format, um Fremdsysteme zu infizieren (Anm. d. Red.: Am 02.08.10 veröffentlichte Microsoft endlich den lang erwarteten Patch): Windows ist so programmiert, dass LNK-Dateien auf Wechseldatenträgern oder in freigegebenen Netzwerkordnern automatisch zur Voransicht ausgeführt werden, sobald der Anwender den entsprechenden Ordner öffnet. Genau diese automatische Ausführung nutzt Stuxnet, um einen Buffer-Overflow zu verursachen und dann Schadcode in das System einzuschleusen.

So ähnlich wie die USB-Variante von Conficker?

Nein – Stuxnet ist viel gefährlicher! Bei Conficker mussten die Anwender entweder auf einen Link doppelklicken oder die autorun.ini für USB-Laufwerke aktiviert haben, um sich zu infizieren. Das ließ sich gut in den Griff bekommen, indem einfach die entsprechende Routine abgeschaltet wurde. Bei Stuxnet ist die Infektionsgefahr viel höher: Doppelklick auf Arbeitsplatz, Doppelklick auf das Wechseldatenträgerlaufwerk, um zu schauen, was auf dem Stick ist – und schon ist der Rechner infiziert. Hinzu kommt, dass die Schwachstelle alle aktuellen Betriebssystemversionen betrifft: Windows XP, Windows Vista, Windows 7, Windows Server 2003 und Windows Server 2008.

Und was passiert, wenn die Software ausgeführt wird?

Stuxnet installiert automatisch zwei Treiberdateien: mrxnet.sys und mrxnet.cls. Die enthalten beide den Schadcode, der die Datenbanken der Prozessteuerungssoftware Siemens Win CC SCADA ausliest – eine klassische Industriespionagesoftware. Außerdem tarnen die Treiber Stuxnet durch gängige Rootkit-Mechanismen vor der Entdeckung durch Virenscanner.

Müsste Windows bei der Ausführung der Treiber nicht wegen fehlender Treiber-Signaturen Alarm schlagen?

In der Theorie schon. Aber die Treiberdateien sind signiert. Stuxnet nutzte zunächst Originaltreiber des Herstellers Realtek. Woher die Signaturen stammen, ist nicht bekannt. Sie waren zwar abgelaufen, aber von den Virenprogrammierern mithilfe eines sogenannten Countersignings mit einem gefälschten Zeitstempel versehen worden. Für Windows sahen die Treiber also legitim aus. Und nachdem das fragliche Realtek-Zertifikat gesperrt worden war, tauchten binnen weniger Tage die ersten Stuxnet-Variationen mit einer offenbar gestohlenen Signatur von JMicron Technology auf. Es ist beängstigend, dass Virenprogrammierer dieses zentrale Sicherheitsfeature zweimal so einfach aushebeln konnten.

Seite 2: Wie gefährlich ist Stuxnet denn für Unternehmen und Privatanwender? Sind nur Firmen mit SCADA-Datenbanken betroffen?

Wie gefährlich ist Stuxnet denn für Unternehmen und Privatanwender? Sind nur Firmen mit SCADA-Datenbanken betroffen?

So einfach ist es leider nicht. Niemand weiß hundertprozentig, welche Schadensroutinen in den Stuxnet-Treibern hinterlegt sind – und ob vom Programmierer nicht vielleicht noch weitere Programmteile nachgeladen werden können. Hinzu kommt, dass die Hackerszene längst eine ganze Reihe von Nachfolgegenerationen entwickelt hat. Diese neuen Viren basieren auf dem gleichen Exploit, greifen aber auf ganz andere Art und Weise an – zum Beispiel, indem sie auf infizierten Systemen einen Keylogger installieren und versuchen, Passwörter zu stehlen. Solange der Link-Exploit nicht gepatcht ist, ist das Gefährdungspotenzial enorm.

Hat Microsoft nicht schon ein Fix-it-Tool bereitgestellt?

Ja, es gibt Workarounds von Microsoft und verschiedenen Security-Herstellern. Für Business-Umgebungen sind die bislang veröffentlichten Ansätze aber nur bedingt praktikabel – in einem Unternehmen einfach die Link-Anzeige zu deaktivieren oder die Ausführung von EXE-Dateien über das Netzwerk zu unterbinden, ginge viel zu sehr zulasten der Produktivität.

Wie schwer ist es denn, den Link-Exploit für Angriffe auszunutzen?

Mit den richtigen Tools leider viel zu leicht. Seit 20. Juli ist im MetaSploit-Framework der erste Bausatz verfügbar, der den Link-Exploit ausnutzt. Mit diesem Tool kann jeder Teenager mit grundlegenden Computerkenntnissen binnen einer Stunde eine infizierte Link-Datei erzeugen. Die muss er dann nur noch auf einen USB-Stick ziehen oder per Netzwerk- oder Internetfreigabe verteilen – und sobald ein anderer den Ordner mit der Datei öffnet, kann der Hacker das Zielsystem übernehmen.

Wie können sich Unternehmen denn vor dem Link-Exploit schützen?

Ein wichtiger erster Schritt ist natürlich ein aktueller Virenscanner. Immer mehr AV-Produkte schlagen inzwischen auf die Stuxnet-Treiber an. Aber nachdem immer wieder neue Varianten des Exploits auftauchen, wird der Malware mit patternbasierten Filtern allein nicht beizukommen sein. Die Security-Abteilungen sollten daher mehr denn je darauf achten, den Einsatz von USB-Sticks streng zu reglementieren. Am besten wäre es, den Einsatz unternehmensfremder Sticks für den Moment komplett zu untersagen.

Unternehmen, die auf USB-Sticks nicht verzichten können, sollten sich mittelfristig überlegen, eine dedizierte USB-Port-Security-Lösung zu implementieren, die bei virenverseuchten Sticks automatisch Alarm schlägt. Auch beim Surfen im Internet sollten die User im Moment besonders vorsichtig sein. Der Link-Exploit kann ja über die Dateifreigabe auch über das Web ausgenutzt werden. Am besten also nur auf hundertprozentig vertrauenswürdige Seiten gehen – und selbst da bleibt bis zum Patch ein Restrisiko.

Update der Redaktion:

Am Abend des 02. August 2010 veröffentlichte Microsoft das Security Bulletin MS10-046 und damit einen Patch, der die Shell-Sicherheitslücke endlich schließt.

Artikelfiles und Artikellinks

(ID:2046445)