Fachartikel

Gefährliches Wurmloch: Der Windows-Link-Exploit

Seit Juni macht das Rootkit 'Stuxnet' weltweit Schlagzeilen: Es nutzt eine Windows-Sicherheitslücke im Link-Format, um industrielle SCADA-Systeme zu hacken - und steckt dabei voller innovativer Angriffstechnik. Martin Dombrowski, Ethical Hacker und System Engineer beim Security-Value-Add-Distributor entrada, hat den Schädling seziert und zeigt das Bedrohungspotenzial der Schwachstelle auf.
Die Windows-Link-Schwachstelle eröffnet neue Verbreitungswege für Schädlinge
Die erste Warnung kam aus Weißrussland: Am 17. Juni 2010 meldete der Antivirus-Hersteller VirusBlokAda das Auftauchen einer neuen Malware-Generation, die es in sich hatte: Das Rootkit mit dem Namen Stuxnet war offensichtlich entwickelt worden, um gezielt Siemens Win CC SCADA – eine Industrie-Software zur Visualisierung von Prozesskontrollsystemen – zu infiltrieren und die daran angeschlossenen Datenbanken auszulesen.

Dafür macht sich die Malware einen Windows-Exploit bei der Verarbeitung von Link-Files zunutze: LNK-Dateien, die auf einem Wechseldatenträger oder einem freigegebenen Netzwerkordner gespeichert sind, werden automatisch zur Voransicht ausgeführt, sobald der entsprechende Wechseldatenträger eingelegt oder das entsprechende Verzeichnis geöffnet wird. Die automatische Ausführung nutzt Stuxnet, um über einen Buffer-Overflow das System zu infizieren.

Infektion ohne Klick auf Dateien
Anders als bei früheren USB-basierten Trojanern und Rootkits muss der User also nicht etwa die Dateien auf dem USB-Stick anklicken: Es genügt, wenn er den mit Stuxnet infizierten USB-Stick an sein System anschließt, auf das Arbeitsplatz- und dann das Wechseldatenträger-Icon doppelklickt. Wenn das geschieht, installiert Stuxnet die zwei Treiber mrxnet.sys und mrxnet.cls. Die Treiber schleusen den Malcode zum Auslesen der SCADA-Datenbanken in die Systemprozesse ein und tarnen die Schadprozesse vor der Entdeckung durch Virenscanner. Die Infektion nutzt dabei übrigens nicht die Autorun-Routine für USB-Sticks – das Abschalten der Autorun-Funktion, wie es beispielsweise bei Conficker sinnvoll war, bietet somit keinen Schutz vor Stuxnet.

Stuxnet markiert damit einen neuen State-of-the-Art in der Malware-Entwicklung: Drei Doppelklicks genügen, um Hackern den Zugriff auf eine gut geschützte SCADA-Industriedatenbank zu eröffnen. Das an sich wäre schon beunruhigend. Doch die Nachrichten aus Weißrussland waren noch weitaus bedrohlicher:

- Treiber mit Original-Signaturen: Die beiden in Stuxnet versteckten Treiber waren mit einer Original-Signatur des Hardware-Herstellers Realtec signiert, deren abgelaufener Timestamp durch "Countersigning" reaktiviert worden war. Wie die Hacker an die Signatur gekommen sind, ist noch unklar. Das Verfahren scheint aber reproduzierbar zu sein: Nachdem die fragliche Signatur durch Verisign gesperrt wurde, sind schnell die ersten Stuxnet-Varianten mit einer ebenfalls authentischen JMicron Technology-Signatur aufgetaucht. Eines der zuverlässigsten Windows-Sicherheitsfeatures wurde also erfolgreich ausgehebelt.

- Alle aktuellen Windows-Versionen sind betroffen: Der Windows-Link-Exploit, der Stuxnet zugrunde liegt, betriff alle aktuellen Windows-Versionen: Windows XP, Windows Vista und Windows 7 sowie den Windows 2008 Server. Selbst auf voll gepatchten Windows 7 Clients wurde der Link-Exploit bereits erfolgreich ausgenutzt.

Mitte Juli wurden die von VirusBlokAda publizierten Fakten vom renommierten IT-Security-Blog "Krebs on Security" und in der Folge von vielen weiteren Medien und Online-Plattformen aufgegriffen. Am 16. Juli 2010 nahm schließlich auch Microsoft Stellung und publizierte ein Advisory zum Umgang mit dem neuen Exploit – leider ohne eine echte Lösung zu bieten.


                                                          Seite 1 von 2                        Nächste Seite>>

26.07.2010/Martin Dombrowski/dr

Nachrichten

OpenFlow für HP-Switches [3.02.2012]

Kunden von HP können ab sofort mit ihren Switches das neue Netzwerk-Protokoll OpenFlow nutzen. Mit OpenFlow können Anwender Datenströme steuern, ohne dafür Netzwerkgeräte konfigurieren zu müssen. HP unterstützt OpenFlow zunächst in 16 Modellen der Switch-Serien HP 3500, 5400 und 8200. [mehr]

Terminalserver-Anschluss per USB [2.02.2012]

ECOS Technology stellt erstmals eine Mac-kompatible Variante des 'ECOS Mobile Office Sticks' vor. Der Speicherriegel ermöglicht den geschützten Online-Zugriff auf Terminalserver in Citrix- oder Microsoft-Umgebungen beziehungsweise die Nutzung von Web-Applikationen. [mehr]

Gebrauchtsoftware-Händler usedSoft wieder da [2.02.2012]

Mit Grundwasser gegen Hitzewallungen [2.02.2012]

[weitere Nachrichten]

Tipps & Tools

WLANs mit Bordmitteln aufspüren [5.02.2012]

Wer im Büro oder der Filiale ein WLAN aufbaut, sollte darauf bedacht sein, eine Überlappung mit anderen Funknetzwerken in der Nähe zu vermeiden. Vor der Konfiguration des WLAN ist es daher ratsam, sich alle benachbarten Netze samt Kanalbelegung und Stärke anzeigen zu lassen. Außer mit Tools wie zum Beispiel 'Netstumbler' existiert auch mit Windows-Bordmitteln eine Möglichkeit, um sich einen Überblick über sämtliche aktiven Funknetzwerke zu verschaffen. Dabei lassen sich sogar diejenigen WLANs finden, welche die Aussendung ihrer SSID unterdrücken. [mehr]

Geek-Gruß an der Wohnungstür [4.02.2012]

Falls Sie gerade jetzt zur matschigen Jahreszeit von Fußspuren der Kollegen in der IT-Abteilung genervt sind, dann motivieren Sie die Übeltäter doch einfach mit einer ausgefallenen Fußmatte dazu, sich die Schuhe abzustreifen. Für Admins und IT-Spezialisten gibt es dazu mehrere Technik-Motive zur Auswahl, die auf Matten aus Kokosfasern und PVC gedruckt sind. Beispielsweise zeigt die Dialogbox auf der Matte 'Sie haben geklingelt' den omnipräsenten Windows-Fortschrittsbalken. [mehr]

Automatisiertes Datei-Management [3.02.2012]

Beschleunigen von IP-Scans mit Nmap [2.02.2012]

[weitere Tipps & Tools]

Partner Links

  IT-Bücher, Video-Trainings und openbooks für Administratoren. Umfangreiches Fachwissen zu Betriebssystemen, Servern, Virtualisierung u.v.m.
  ictjob.de ist eine IT-Stellenbörse mit Skill-basierter Suche. In wenigen Klicks zu wirklich passenden Jobs für Ihre konkreten IT-Systemkenntnisse!
  IT-Forum, News und Knowledgebase, Diskussionsforum mit einer Wissensdatenbank für alle IT-Benutzergruppen
  Die Hilfeseite zum Thema Windows und co.
  Aus der Synergie von Expertenwissen und Entwickler-Know-how schaffen die Mitarbeiter der sepago einen innovativen Mehrwert für die IT-Community.
  IT-Jobs bei IT-Treff – laufend mehr als 300 IT-Stellenangebote in unserer ausschließlich auf IT&TK spezialisierten Jobbörse
  Wir von der acocon GmbH haben uns als Ziel gesetzt Menschen, Prozesse und Technologien im Unternehmensumfeld näher zusammen zu bringen.

Buchbesprechung

Citrix XenApp 6 & XenDesktop 5

von Nico Lüdemann

[weitere Bücher]

Nächster Workshop

ITANet-Workshop »Lotus Domino Deployment« am 22. März 2012 in Bielefeld

IT-Administrator Training »Windows Server Best Practice« am 16. April 2012 in München und am 15. Mai 2012 in Hamburg

[weitere Workshops]

Seminarmarkt-News

Vier Termine gegen neue IT-Bedrohungen [30.01.2012]

[Seminare & Events]

Anzeigen