Fachartikel

Gefährliches Wurmloch: Der Windows-Link-Exploit

Seit Juni macht das Rootkit 'Stuxnet' weltweit Schlagzeilen: Es nutzt eine Windows-Sicherheitslücke im Link-Format, um industrielle SCADA-Systeme zu hacken - und steckt dabei voller innovativer Angriffstechnik. Martin Dombrowski, Ethical Hacker und System Engineer beim Security-Value-Add-Distributor entrada, hat den Schädling seziert und zeigt das Bedrohungspotenzial der Schwachstelle auf.
Die Windows-Link-Schwachstelle eröffnet neue Verbreitungswege für Schädlinge
Die erste Warnung kam aus Weißrussland: Am 17. Juni 2010 meldete der Antivirus-Hersteller VirusBlokAda das Auftauchen einer neuen Malware-Generation, die es in sich hatte: Das Rootkit mit dem Namen Stuxnet war offensichtlich entwickelt worden, um gezielt Siemens Win CC SCADA – eine Industrie-Software zur Visualisierung von Prozesskontrollsystemen – zu infiltrieren und die daran angeschlossenen Datenbanken auszulesen.

Dafür macht sich die Malware einen Windows-Exploit bei der Verarbeitung von Link-Files zunutze: LNK-Dateien, die auf einem Wechseldatenträger oder einem freigegebenen Netzwerkordner gespeichert sind, werden automatisch zur Voransicht ausgeführt, sobald der entsprechende Wechseldatenträger eingelegt oder das entsprechende Verzeichnis geöffnet wird. Die automatische Ausführung nutzt Stuxnet, um über einen Buffer-Overflow das System zu infizieren.

Infektion ohne Klick auf Dateien
Anders als bei früheren USB-basierten Trojanern und Rootkits muss der User also nicht etwa die Dateien auf dem USB-Stick anklicken: Es genügt, wenn er den mit Stuxnet infizierten USB-Stick an sein System anschließt, auf das Arbeitsplatz- und dann das Wechseldatenträger-Icon doppelklickt. Wenn das geschieht, installiert Stuxnet die zwei Treiber mrxnet.sys und mrxnet.cls. Die Treiber schleusen den Malcode zum Auslesen der SCADA-Datenbanken in die Systemprozesse ein und tarnen die Schadprozesse vor der Entdeckung durch Virenscanner. Die Infektion nutzt dabei übrigens nicht die Autorun-Routine für USB-Sticks – das Abschalten der Autorun-Funktion, wie es beispielsweise bei Conficker sinnvoll war, bietet somit keinen Schutz vor Stuxnet.

Stuxnet markiert damit einen neuen State-of-the-Art in der Malware-Entwicklung: Drei Doppelklicks genügen, um Hackern den Zugriff auf eine gut geschützte SCADA-Industriedatenbank zu eröffnen. Das an sich wäre schon beunruhigend. Doch die Nachrichten aus Weißrussland waren noch weitaus bedrohlicher:

- Treiber mit Original-Signaturen: Die beiden in Stuxnet versteckten Treiber waren mit einer Original-Signatur des Hardware-Herstellers Realtec signiert, deren abgelaufener Timestamp durch "Countersigning" reaktiviert worden war. Wie die Hacker an die Signatur gekommen sind, ist noch unklar. Das Verfahren scheint aber reproduzierbar zu sein: Nachdem die fragliche Signatur durch Verisign gesperrt wurde, sind schnell die ersten Stuxnet-Varianten mit einer ebenfalls authentischen JMicron Technology-Signatur aufgetaucht. Eines der zuverlässigsten Windows-Sicherheitsfeatures wurde also erfolgreich ausgehebelt.

- Alle aktuellen Windows-Versionen sind betroffen: Der Windows-Link-Exploit, der Stuxnet zugrunde liegt, betriff alle aktuellen Windows-Versionen: Windows XP, Windows Vista und Windows 7 sowie den Windows 2008 Server. Selbst auf voll gepatchten Windows 7 Clients wurde der Link-Exploit bereits erfolgreich ausgenutzt.

Mitte Juli wurden die von VirusBlokAda publizierten Fakten vom renommierten IT-Security-Blog "Krebs on Security" und in der Folge von vielen weiteren Medien und Online-Plattformen aufgegriffen. Am 16. Juli 2010 nahm schließlich auch Microsoft Stellung und publizierte ein Advisory zum Umgang mit dem neuen Exploit – leider ohne eine echte Lösung zu bieten.


                                                          Seite 1 von 2                        Nächste Seite>>

26.07.2010/Martin Dombrowski/dr

Nachrichten

Mainframe-Chip mit 5,2 GHz [2.09.2010]

IBM liefert mit Modell 'z196' den nach eigenen Angaben weltweit schnellsten Mikroprozessor aus. Der Chip taktet mit 5,2 GHz und kommt im Großrechner 'zEnterprise 196' zum Einsatz – dort sorgen 96 dieser CPUs dafür, dass das System 50 Milliarden Anweisungen pro Sekunde verarbeiten kann. [mehr]

Hybrid Cloud für Unternehmen [2.09.2010]

Verizon Business und VMware stellen eine Hybrid Cloud-Lösung vor, die es Unternehmen ermöglichen soll, ihre Anwendungen rascher in die Cloud zu verlagern, ohne dabei Sicherheit oder Performance zu gefährden. [mehr]

Druckerhersteller im Zehnjahreshoch [2.09.2010]

Datenschutz für die Cloud [1.09.2010]

[weitere Nachrichten]

Tipps & Tools

Taskmanager in die Superbar integrieren [2.09.2010]

Fast jeder Anwender nutzt unter Windows 7 regelmäßig den Taskmanager, um die Prozesse und die Speicherauslastung im Blick zu behalten. Das Werkzeug jedes Mal aufs Neue mit 'STRG + ALT + Entf' zu starten, ist jedoch relativ umständlich. Gewusst wie, lässt sich der Taskmanager komfortabel in die Superbar integrieren. [mehr]

Reiche Quelle für Admin-Informationen [1.09.2010]

Es gibt wohl nur wenig Internet-Portale, die für lau eine so große Auswahl an Themen und verschiedenen Medien-Formaten anbieten wie die 'Realtime Nexus Digital Library'. Hier findet sich eine große Anzahl von kostenlosen E-Books von Experten mit dem Schwerpunkt Windows-Administration. Zielgruppe sind IT-Profis aber auch Entscheidungsträger. Ob Monitoring, Netzwerkmanagement oder Sicherheit - zu fast jedem Thema stellt die Seite eine Menge Lesestoff zur Verfügung. [mehr]

Download der Woche: Veeam Reporter [31.08.2010]

Vorschau September 2010 [30.08.2010]

[weitere Tipps & Tools]

Sponsored Links

  Controlware GmbH, Systemintegrator und IT-Dienstleister, unterstützt Sie in den Bereichen Communication Solutions, Information Security, Physical Security, IT-Management, Application Delivery und IT-Service & Operating.
  Pimp your Microsoft SCCM! Shavlik SCUPdates erweitert den Microsoft System Center Configuration Manager (SCCM) um die Möglichkeit, auch alle wichtigen Nicht-Microsoft-Standard-Applikationen zu patchen / upzudaten. Jetzt testen!
  Optimales Geräte-Management (Endpoint Protection), Patch-Management, Softwareverteilung, Asset-Management, Lizenzverwendung, Network Discovery, GreenIT/Energie-Management, OSDeploy Freeware. Sichere USB-Sticks verhindern Datenverlust!
  Power of 3 (SNW Europe, Datacenter Technologies, Virtualization World), 26. – 27.10.2010, Congress Frankfurt. Kostenloser Eintritt für IT-Endanwender mit Promocode: M14P10.

Partner Links

  Jetzt Kongress-Teilnahme zum Frühbucher- und IT-Administrator Abonnenten-Vorzugspreis sichern! 2 Workshop-Tage nur für Admins z.B. zu Virtualisierung, Windows 7 Migration, SAN-Datenmanagement, Windows-Server: Active Directory, Hyper V R2 u.v.m.
  IT-Bücher, Video-Trainings und openbooks für Administratoren. Umfangreiches Fachwissen zu Betriebssystemen, Servern, Virtualisierung u.v.m.
  IT-Forum, News und Knowledgebase, Diskussionsforum mit einer Wissensdatenbank für alle IT-Benutzergruppen
  Die ultimative Hilfeseite für Windows Vista, Windows 2000 und Windows XP
  Probleme mit Windows ? Die Lösung gibt es bestimmt im WinTotal-Forum!
  Aus der Synergie von Expertenwissen und Entwickler-Know-how schaffen die Mitarbeiter der sepago einen innovativen Mehrwert für die IT-Community.
  Das IT-Treff besteht seit 2003 als Jobbörse mit ausschließlicher Spezialisierung auf den Themenbereich Informationstechnologie und Telekommunikation.
  Wir von der acocon GmbH haben uns als Ziel gesetzt Menschen, Prozesse und Technologien im Unternehmensumfeld näher zusammen zu bringen.

Buchbesprechung

Windows Server 2008 R2

von Ulrich B. Boddenberg

[weitere Bücher]

Nächster Workshop

ITANet-Workshop »Sicherheit für Windows-Clients« am 16.11.2010 in München

ITANet-Workshop »Windows 7« am 21.09.2010 in Karlsruhe

[weitere Workshops]

Seminarmarkt-News

Gute, sichere Verbindungen [17.08.2010]

[Seminare & Events]

Anzeigen