Die Redmonder bieten ein Fix-it-Tool zum Download, bei dem als Workaround die Link-Voransicht in Windows deaktiviert wird. Das Verfahren wird auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen, ist für professionelle Umgebungen aber nur bedingt geeignet: Folgt ein Administrator dem Advisory, wird der Großteil der Verknüpfungen in der Taskleiste und im Startmenü abgeschaltet. Die Folge: Um eine einfache Anwendung wie das "Wordpad" zu starten, muss sich der User über den Windows Explorer bis zur Datei C:\Windows\System32\write.exe durchklicken. Wer als Administrator mehr als eine Handvoll Desktop-PCs betreut, kann sich ausmalen, welche Folge die Umstellung in der Praxis hat. Ansonsten beließ es Microsoft bei der Ankündigung, am Patch werde gearbeitet.
Eine zweite Workaround-Empfehlung folgte wenige Tage später: Die Experten eines namhaften Security-Herstellers plädierten dafür, die Policies der Unternehmen so anzupassen, dass nur noch lokal gespeicherte Executables ausgeführt werden können. Der Ansatz ist für Privatanwender gut geeignet – zumal es aktuell ja nur darum geht, die Zero-Day-Phase bis zum Erscheinen des Patches zu überbrücken. Der Einsatz in professionellen Umgebungen scheint allerdings fragwürdig. Immerhin hätte die Konfigurationsänderung den Ausfall aller zentral gehosteten Anwendungen die Folge, was für viele Unternehmen einen erheblichen Produktivitätseinbruch und einen enormen Support-Aufwand bedeuten würde.
Erste automatisierte Hacking-Tools verfügbar
Leider kommt die Hacker-Community bei der Weiterentwicklung von Stuxnet wesentlich besser voran als die Software-Branche auf der Suche nach einer endgültigen Lösung. Am 20. Juli 2010 erschien ein vorgefertigter MetaSploit-Bausatz, mit dem selbst unbedarfte Script-Kiddies mithilfe der WebDAV-Sicherheitslücke fremde Systeme übernehmen können. Für einen erfolgreichen Angriff genügt es, das Opfer auf einen freigegebenen WebDAV-Ordner zu locken oder ihm einen mit dem MetaSploit-Bausatz vergifteten USB-Stick zuzuspielen
Bild 1: Hacken leicht gemacht: Der Angreifer wählt im MetaSploit-Framework den Exploit aus, den er für seinen Angriff nutzen möchte und definiert die Art des Angriffs ("Payload"). Den Rest übernimmt der vorgefertigte Exploit-Bausatz.
Vor wenigen Tagen wurde das Auftauchen zweier weiterer Schädlinge bekannt, die den Windows-Link-Exploit nutzen. Im Gegensatz zum Original Stuxnet sind der Trojaner Win32/TrojanDownloader.Chymine.A und der Wurm Win32/Autorun.VB.RP aber darauf ausgelegt, möglichst viele Systeme zu infizieren. Daher wurde bei ihnen die ursprüngliche Spionage-Routine von Stuxnet bereits durch anderen Schadcode ersetzt, unter anderem durch einen nachladbaren Key-Logger.
Fazit
Die beiden bislang verfügbaren Workarounds eignen sich zwar gut für Privatanwender mit soliden Computer-Kenntnissen. Doch für den Einsatz in professionellen Umgebungen sind beide Methoden angesichts ihrer drastischen Nebenwirkungen nur bedingt geeignet. Positiv ist allerdings festzuhalten, dass schon jetzt die ersten Antivirus-Systeme auf Stuxnet und dessen Varianten anschlagen.
Den Administratoren bleibt für den Moment vor allem eines zu tun: Sie müssen unternehmensweit das Bewusstsein für die Risiken eines unkontrollierten Einsatzes von USB-Sticks schärfen, oder – noch besser – in den kommenden Wochen bis zum Erscheinen des Patches den Einsatz firmenfremder Sticks komplett verbieten. Mittelfristig sollte jeder Administrator zudem die Einführung einer unternehmensweiten Lösung für die Kontrolle der USB-Ports erwägen, eventuell bis hin zur Ausgabe verschlüsselter, geschützter Unternehmenssticks.
<<Vorherige Seite Seite 2 von 2
