Suchen

Malware dringt über USB-Stick in Firmennetze ein und bedroht Daten Stuxnet Trojaner infiziert durch USB-Schwachstelle und LNK-Dateien

Redakteur: Peter Schmitz

Der neu aufgetauchet Trojaner Stuxnet macht sich eine Schwachstelle in der Windows Shell zunutze und kann so über USB-Speichermedien Systeme infizieren und heimlich Daten sammeln. Ziel des Trojaners scheint Wirtschaftsspionage auf internationale Unternehmen zu sein. Microsoft empfiehlt dringend bis zur Beseitigung der Schwachstelle einen Workaround einzusetzen.

Firmen zum Thema

Der Wurm Stuxnet greift über eine Zero-Day USB-Sicherheitslücke an, installiert ein Rootkit und scheint es auf Unternehmensdaten abgesehen zu haben.
Der Wurm Stuxnet greift über eine Zero-Day USB-Sicherheitslücke an, installiert ein Rootkit und scheint es auf Unternehmensdaten abgesehen zu haben.
( Archiv: Vogel Business Media )

Stuxnet basiert auf dem Ausnutzen einer bisher unbekannten Zero-Day-Schwachstelle in der Windows Shell, von der alle aktuellen Windows Systeme ab XP (Windows XP, Server 2003, Vista, Windows 7 und Server 2008) betroffen sind. Kernstück des Angriffs ist eine manipulierte Windows-Verknüpfung (LNK-Datei) oder eine gleichermaßen präparierte PIF-Datei, in Verbindung mit einer Rootkit-Komponente.

Der Angreifer manipuliert dabei das Icon einer Verknüpfung so, dass durch die Anzeige des Icons im Explorer der Schadcode bereits ausgeführt wird. Die Infektion mit dem Trojaner ist also einfach durch ein USB-Speichermedium, durch Netzwerkshares oder WebDAV-Laufwerke möglich. Es reicht aus, sich mit dem Explorer ein Verzeichnis anzeigen zu lassen, das eine entsprechend präparierte LNK-Datei enthält. Der klassische Angriff für USB-Laufwerke mittels präparierter autorun.inf ist so gar nicht mehr nötig.

Der Schädling scheint es auf die Daten international operierender Unternehmen abgesehen zu haben, denn alle Daten die der Trojaner auf das USB- oder Netzwerklaufwerk kopiert werden automatisch vom Rootkit verborgen. Zusätzlich versucht die Malware innerhalb des Unternehmensnetzwerks auf Prozesssteuerungs- und Leitsysteme wie sie in Produktionsprozessen eingesetzt werden, zuzugreifen.

Da es aktuell noch keinen Fix für die Schwachstelle gibt empfiehlt Microsoft in seinem Security Advisory 2286198 einen Workaround einzusetzen, der die Darstellung der Icons von LNK- und PIF-Dateien verhindert. Dadurch zeigen zwar alle Verknüpfungen nur noch weiße Icons, aber der Angriff durch die Malware wird verhindert. In der Microsoft Knowledgebase stellt das Unternehmen für den Workaround sogar einen schnellen „Fix it Wizard“ zur Verfügung und beschreibt den manuellen Workaround über die Registry. Außerdem empfiehlt Microsoft den Dienst „WebClient“ auf allen Rechnern zu deaktivieren, damit Anwender sich nicht versehentlich durch den Zugriff auf Web-Ordner per WebDAV infizieren können.

Artikelfiles und Artikellinks

(ID:2046247)