Fachartikel

Gefährliches Wurmloch: Der Windows-Link-Exploit

Seit Juni macht das Rootkit 'Stuxnet' weltweit Schlagzeilen: Es nutzt eine Windows-Sicherheitslücke im Link-Format, um industrielle SCADA-Systeme zu hacken - und steckt dabei voller innovativer Angriffstechnik. Martin Dombrowski, Ethical Hacker und System Engineer beim Security-Value-Add-Distributor entrada, hat den Schädling seziert und zeigt das Bedrohungspotenzial der Schwachstelle auf.
Die Windows-Link-Schwachstelle eröffnet neue Verbreitungswege für Schädlinge
Die erste Warnung kam aus Weißrussland: Am 17. Juni 2010 meldete der Antivirus-Hersteller VirusBlokAda das Auftauchen einer neuen Malware-Generation, die es in sich hatte: Das Rootkit mit dem Namen Stuxnet war offensichtlich entwickelt worden, um gezielt Siemens Win CC SCADA – eine Industrie-Software zur Visualisierung von Prozesskontrollsystemen – zu infiltrieren und die daran angeschlossenen Datenbanken auszulesen.

Dafür macht sich die Malware einen Windows-Exploit bei der Verarbeitung von Link-Files zunutze: LNK-Dateien, die auf einem Wechseldatenträger oder einem freigegebenen Netzwerkordner gespeichert sind, werden automatisch zur Voransicht ausgeführt, sobald der entsprechende Wechseldatenträger eingelegt oder das entsprechende Verzeichnis geöffnet wird. Die automatische Ausführung nutzt Stuxnet, um über einen Buffer-Overflow das System zu infizieren.

Infektion ohne Klick auf Dateien
Anders als bei früheren USB-basierten Trojanern und Rootkits muss der User also nicht etwa die Dateien auf dem USB-Stick anklicken: Es genügt, wenn er den mit Stuxnet infizierten USB-Stick an sein System anschließt, auf das Arbeitsplatz- und dann das Wechseldatenträger-Icon doppelklickt. Wenn das geschieht, installiert Stuxnet die zwei Treiber mrxnet.sys und mrxnet.cls. Die Treiber schleusen den Malcode zum Auslesen der SCADA-Datenbanken in die Systemprozesse ein und tarnen die Schadprozesse vor der Entdeckung durch Virenscanner. Die Infektion nutzt dabei übrigens nicht die Autorun-Routine für USB-Sticks – das Abschalten der Autorun-Funktion, wie es beispielsweise bei Conficker sinnvoll war, bietet somit keinen Schutz vor Stuxnet.

Stuxnet markiert damit einen neuen State-of-the-Art in der Malware-Entwicklung: Drei Doppelklicks genügen, um Hackern den Zugriff auf eine gut geschützte SCADA-Industriedatenbank zu eröffnen. Das an sich wäre schon beunruhigend. Doch die Nachrichten aus Weißrussland waren noch weitaus bedrohlicher:

- Treiber mit Original-Signaturen: Die beiden in Stuxnet versteckten Treiber waren mit einer Original-Signatur des Hardware-Herstellers Realtec signiert, deren abgelaufener Timestamp durch "Countersigning" reaktiviert worden war. Wie die Hacker an die Signatur gekommen sind, ist noch unklar. Das Verfahren scheint aber reproduzierbar zu sein: Nachdem die fragliche Signatur durch Verisign gesperrt wurde, sind schnell die ersten Stuxnet-Varianten mit einer ebenfalls authentischen JMicron Technology-Signatur aufgetaucht. Eines der zuverlässigsten Windows-Sicherheitsfeatures wurde also erfolgreich ausgehebelt.

- Alle aktuellen Windows-Versionen sind betroffen: Der Windows-Link-Exploit, der Stuxnet zugrunde liegt, betriff alle aktuellen Windows-Versionen: Windows XP, Windows Vista und Windows 7 sowie den Windows 2008 Server. Selbst auf voll gepatchten Windows 7 Clients wurde der Link-Exploit bereits erfolgreich ausgenutzt.

Mitte Juli wurden die von VirusBlokAda publizierten Fakten vom renommierten IT-Security-Blog "Krebs on Security" und in der Folge von vielen weiteren Medien und Online-Plattformen aufgegriffen. Am 16. Juli 2010 nahm schließlich auch Microsoft Stellung und publizierte ein Advisory zum Umgang mit dem neuen Exploit – leider ohne eine echte Lösung zu bieten.


                                                          Seite 1 von 2                        Nächste Seite>>

26.07.2010/Martin Dombrowski/dr

Nachrichten

Daten in den Orkus [9.02.2012]

Paragon veröffentlicht mit 'Disk Wiper 11 Professional' eine optimierte Version seiner Software zur sicheren Datenlöschung. Zugelegt hat das neue Release laut Hersteller bei der Unterstützung neuer Festplattenstandards, bei der Optimierung der Datensicherheit und der Überprüfung ausgeführter Löschoperationen. [mehr]

Kaspersky-Schutz für Android [30.01.2012]

Kaspersky Lab veröffentlicht mit Kaspersky Mobile Security Lite eine kostenlose Version seiner Schutzsoftware für Android-Smartphones. Das Tool will mit Anti-Virus Lite aktuellen Schutz vor den stetig wachsenden Android-Schadprogrammen bieten. [mehr]

Hochinfektiöse Spamwelle [27.01.2012]

Schnelltest für sichere Seiten [27.01.2012]

[weitere Nachrichten]

Tipps & Tools

Partitionsgrößen unter VMware beachten [15.01.2012]

Windows Server 2008 R2 als Gastsystem unter VMware ESX zu betreiben, gehört im Rechenzentrum mittlerweile zum Standard. Im Rahmen der Backup-Strategie sollte in regelmäßigen Zeitabständen eine komplette Sicherung auf einen anderen Server erfolgen. Manchmal bricht der Kopiervorgang jedoch mit der Fehlermeldung 'Systemstatus: Der Vorgang wurde beendet. Detaillierter Fehler: Es steht nicht genug Speicherplatz auf dem Datenträger zur Verfügung', obwohl auf dem Zielsystem genug Platz vorhanden ist. In Wahrheit leidet jedoch der Quellserver unter Platzmangel, dessen Partitionsgrenzen Sie unter Umständen anpassen müssen. [mehr]

Andocken virtueller Systeme [12.01.2012]

In der Regel werden virtuelle Systeme mit der so genannten Bridge-Funktion der entsprechenden virtuellen Netzwerk-Karte in ein Netzwerk eingebunden. Allerdings kann es dabei unter Windows zu Verbindungsproblemen kommen. Dies liegt daran, dass eine virtuelle Bridge-Netzwerk-Karte manchmal keine dazugehörige IP-Adresse finden kann. Ein Grund hierfür kann beispielsweise ein unter Windows installierter VPN-Adapter sein. Um die Schwierigkeiten zu beheben, ist etwas manuelle Nacharbeit vonnöten. [mehr]

Internet Explorer fit für die Desktop-Virtualisierung [21.12.2011]

Sprache von vSphere Client ändern [20.11.2011]

[weitere Tipps & Tools]

Partner Links

  IT-Bücher, Video-Trainings und openbooks für Administratoren. Umfangreiches Fachwissen zu Betriebssystemen, Servern, Virtualisierung u.v.m.
  ictjob.de ist eine IT-Stellenbörse mit Skill-basierter Suche. In wenigen Klicks zu wirklich passenden Jobs für Ihre konkreten IT-Systemkenntnisse!
  IT-Forum, News und Knowledgebase, Diskussionsforum mit einer Wissensdatenbank für alle IT-Benutzergruppen
  Die Hilfeseite zum Thema Windows und co.
  Aus der Synergie von Expertenwissen und Entwickler-Know-how schaffen die Mitarbeiter der sepago einen innovativen Mehrwert für die IT-Community.
  IT-Jobs bei IT-Treff – laufend mehr als 300 IT-Stellenangebote in unserer ausschließlich auf IT&TK spezialisierten Jobbörse
  Wir von der acocon GmbH haben uns als Ziel gesetzt Menschen, Prozesse und Technologien im Unternehmensumfeld näher zusammen zu bringen.

Buchbesprechung

Debian GNU/Linux, 4. aktualisierte Auflage

von Heike Jurzik

[weitere Bücher]

Nächster Workshop

ITANet-Workshop »Virtualisierung« am 17. April 2012 in Hamburg und am 31. Mai 2012 in Frankfurt/Eschborn«

ITANet-Workshop »Lotus Domino Deployment« am 22. März 2012 in Bielefeld

[weitere Workshops]

Seminarmarkt-News

Vier Termine gegen neue IT-Bedrohungen [30.01.2012]

[Seminare & Events]

Anzeigen