Abo
  • Services:

Infektion per Tastaturlayout

Auf Windows-XP-Systemen gibt es diese Lücke nicht, dennoch konnte der Wurm auch hier das Rootkit installieren. Dang fiel bei der Analyse unter Windows XP auf, dass Stuxnet in der Datei Win32k.sys etwas suchte. Dann entdeckte er, dass Stuxnet über NtVirtualAllocateMemory Speicher alloziert und dass Tastaturlayouts geladen werden. Während ab Windows Vista die Layouts nur aus dem %system%-Pfad lädt, können sie unter Windows XP überall liegen.

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. TUI Group, Hannover

Im Kernel-Modus wird aus den Layoutdateien ein Integerwert geladen, der als Index dient. Dabei wurde die Feldgrenze des geladenen Index aber nicht überprüft. Durch den daraus resultierenden Pufferüberlauf konnte Code mit erhöhten Rechten ausgeführt werden.

Drucker-Spooler als Wurmträger

Zudem verbreitete sich der Wurm unkontrolliert über das Netz. Hier kamen die Entwickler auf eine weitere Schwachstelle im Drucker-Spooler unter Windows XP. Da auch Gäste auf freigegebene Drucker im Netz zugreifen können, sie aber eigentlich nicht genügend Rechte besitzen, um den Druckauftrag auszuführen, übernimmt der Spooler den Auftrag und führt ihn als Systembenutzer aus.

Stuxnet gab über den Spooler den Befehl aus, Druckaufträge in eine Datei zu schreiben und verbreitete so eine EXE- und MOF-Datei. Diese Schwachstelle wurde mit Hilfe der zuständigen Programmierer ebenfalls behoben.

Zeitfresser Patcherstellung

Für die Analyse von Stuxnet haben Dang und seine Kollegen etwa 40 Stunden gebraucht, verteilt auf einen Zeitraum von drei bis vier Tagen. Sie wurden immer wieder von den neuen Sicherheitslücken überrascht - was Dang in seinem Vortrag häufig mit "What the fuck, dude." kommentierte. Eine große Hilfe war zudem das Moskauer Kaspersky-Team, das auf die Spooling-Lücke hingewiesen hatte, sagte Dang. Microsoft und Kaspersky haben ihr Wissen während der gesamten Zeit geteilt, obwohl Microsoft darauf aus war, zuerst mit der Analyse von Stuxnet fertig zu werden.

Die Entwicklung und das Testen der Patches hat dann allerdings länger gedauert. Die letzte Sicherheitslücke von Stuxnet wurde erst Mitte Dezember 2010 beseitigt. Hin und wieder wurde auch ein Patch verworfen, denn er hätte zu Kompatibilitätsproblemen führen können. Nachdem die letzte Lücke geschlossen wurde, darf Dang auch offen über die Sicherheitsprobleme sprechen - was er unumwunden tat.

 Wurm: 40 Stunden gegen StuxnetWer war's? 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Top-Angebote
  1. (u. a. HP Omen 1100 Gaming-Tastatur für 49,99€ statt 79,99€ und HP 15.6" Topload Tasche...
  2. 86,90€ statt 119,40€ im Vergleich

oldman 29. Dez 2010

Also erstmal ist jede A-Bombe eine zuviel, egal in wessen Besitz sie ist. Weiterhin...

Fuscher 29. Dez 2010

Den Artikel gelesen? Falls nein: Die Macher von Stuxnet, davon kann ausgegangen werden...

SPS Experte 29. Dez 2010

Jaein. Die (produzierenden) Maschinen selber laufen nicht unter Windows, aber die...

Loolig 29. Dez 2010

Also ich finde den O-Ton in diesem, Fall wesentlich amüsanter.. :)


Folgen Sie uns
       


Saugen oder Glitzern in Vampyr - Livestream

Es geht hoch her in London anno 1918, wie die Golem.de-Redakteure Christoph und Michael am eigenen, nach Blut lächzenden Körper erfahren.

Saugen oder Glitzern in Vampyr - Livestream Video aufrufen
Sonnet eGFX Box 650 im Test: Wenn die Vega 64 am Thinkpad rechnet
Sonnet eGFX Box 650 im Test
Wenn die Vega 64 am Thinkpad rechnet

Die eGFX Box 650 von Sonnet ist ein eGPU-Gehäuse, das dank 650-Watt-Netzteil auch mit AMDs Radeon RX Vega 64 läuft. Die Box ist zwar recht leise, dennoch würden wir den Lüfter gerne steuern.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Razer Core X eGPU-Box kostet 300 Euro
  2. eGFX Breakaway Box 650 Sonnets Grafik-Gehäuse läuft mit Vega 64
  3. XG Station Pro Asus' zweite eGPU-Box ist schlicht

Nasa: Wieder kein Leben auf dem Mars
Nasa
Wieder kein Leben auf dem Mars

Analysen von Kohlenwasserstoffen durch den Marsrover Curiosity zeigten keine Hinweise auf Leben. Dennoch versucht die Nasa mit allen Mitteln, den gegenteiligen Eindruck zu vermitteln.
Von Frank Wunderlich-Pfeiffer


    Gemini PDA im Test: 2004 ist nicht 2018
    Gemini PDA im Test
    2004 ist nicht 2018

    Knapp über ein Jahr nach der erfolgreichen Finanzierung hat das Startup Planet Computers mit der Auslieferung seines Gemini PDA begonnen. Die Tastatur ist gewöhnungsbedürftig, längere Texte lassen sich aber mit Geduld durchaus damit tippen. Die Frage ist: Brauchen wir heute noch einen PDA?
    Ein Test von Tobias Költzsch und Sebastian Grüner

    1. Atom Wasserfestes Mini-Smartphone binnen einer Minute finanziert
    2. Librem 5 Freies Linux-Smartphone wird größer und kantig
    3. Smartphone-Verkäufe Xiaomi erobert Platz vier hinter Huawei, Apple und Samsung

      •  /