Infektion per Tastaturlayout

Auf Windows-XP-Systemen gibt es diese Lücke nicht, dennoch konnte der Wurm auch hier das Rootkit installieren. Dang fiel bei der Analyse unter Windows XP auf, dass Stuxnet in der Datei Win32k.sys etwas suchte. Dann entdeckte er, dass Stuxnet über NtVirtualAllocateMemory Speicher alloziert und dass Tastaturlayouts geladen werden. Während ab Windows Vista die Layouts nur aus dem %system%-Pfad lädt, können sie unter Windows XP überall liegen.

Stellenmarkt
  1. Telekommunikationsingenieur VoIP / Linux-Administrator (all genders)
    Tele Columbus AG, Leipzig
  2. Embedded Software Developer (m/f/d) Wind Turbines
    ENERCON GmbH, verschiedene Standorte
Detailsuche

Im Kernel-Modus wird aus den Layoutdateien ein Integerwert geladen, der als Index dient. Dabei wurde die Feldgrenze des geladenen Index aber nicht überprüft. Durch den daraus resultierenden Pufferüberlauf konnte Code mit erhöhten Rechten ausgeführt werden.

Drucker-Spooler als Wurmträger

Zudem verbreitete sich der Wurm unkontrolliert über das Netz. Hier kamen die Entwickler auf eine weitere Schwachstelle im Drucker-Spooler unter Windows XP. Da auch Gäste auf freigegebene Drucker im Netz zugreifen können, sie aber eigentlich nicht genügend Rechte besitzen, um den Druckauftrag auszuführen, übernimmt der Spooler den Auftrag und führt ihn als Systembenutzer aus.

Stuxnet gab über den Spooler den Befehl aus, Druckaufträge in eine Datei zu schreiben und verbreitete so eine EXE- und MOF-Datei. Diese Schwachstelle wurde mit Hilfe der zuständigen Programmierer ebenfalls behoben.

Zeitfresser Patcherstellung

Golem Karrierewelt
  1. Deep Dive: Data Governance Fundamentals: virtueller Ein-Tages-Workshop
    22.02.2023, Virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    10./11.10.2022, virtuell
Weitere IT-Trainings

Für die Analyse von Stuxnet haben Dang und seine Kollegen etwa 40 Stunden gebraucht, verteilt auf einen Zeitraum von drei bis vier Tagen. Sie wurden immer wieder von den neuen Sicherheitslücken überrascht - was Dang in seinem Vortrag häufig mit "What the fuck, dude." kommentierte. Eine große Hilfe war zudem das Moskauer Kaspersky-Team, das auf die Spooling-Lücke hingewiesen hatte, sagte Dang. Microsoft und Kaspersky haben ihr Wissen während der gesamten Zeit geteilt, obwohl Microsoft darauf aus war, zuerst mit der Analyse von Stuxnet fertig zu werden.

Die Entwicklung und das Testen der Patches hat dann allerdings länger gedauert. Die letzte Sicherheitslücke von Stuxnet wurde erst Mitte Dezember 2010 beseitigt. Hin und wieder wurde auch ein Patch verworfen, denn er hätte zu Kompatibilitätsproblemen führen können. Nachdem die letzte Lücke geschlossen wurde, darf Dang auch offen über die Sicherheitsprobleme sprechen - was er unumwunden tat.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Wurm: 40 Stunden gegen StuxnetWer war's? 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


oldman 29. Dez 2010

Also erstmal ist jede A-Bombe eine zuviel, egal in wessen Besitz sie ist. Weiterhin...

Fuscher 29. Dez 2010

Den Artikel gelesen? Falls nein: Die Macher von Stuxnet, davon kann ausgegangen werden...

SPS Experte 29. Dez 2010

Jaein. Die (produzierenden) Maschinen selber laufen nicht unter Windows, aber die...



Aktuell auf der Startseite von Golem.de
Meta
"Es ist euer Job, euch in Horizon Worlds zu verlieben!"

Amüsante Auszüge aus Memos von Meta zeigen, dass nicht mal die Entwickler von Horizon Worlds gerne in ihre virtuelle Welt eintauchen.

Meta: Es ist euer Job, euch in Horizon Worlds zu verlieben!
Artikel
  1. Nach Datenleck: Softwareentwickler durch Privatdetektiv bedroht
    Nach Datenleck
    Softwareentwickler durch Privatdetektiv bedroht

    Durch Zufall entdeckte ein Entwickler ein Datenleck, meldete es und informierte die Betroffenen. Kurze Zeit später stand ein Privatdetektiv vor seiner Tür.
    Eine Recherche von Moritz Tremmel

  2. Data Engineering und Data Science mit Python
     
    Data Engineering und Data Science mit Python

    Bei der Auswertung und Darstellung von Daten kommt keine Programmiersprache häufiger zum Zug als Python. Kurse zum leichten Einstieg bietet die Golem Karrierewelt.
    Sponsored Post von Golem Karrierewelt

  3. Klage gegen Datenschutzaufsicht: Bundeskriminalamt weigert sich, Funkzellendaten zu löschen
    Klage gegen Datenschutzaufsicht
    Bundeskriminalamt weigert sich, Funkzellendaten zu löschen

    Das BKA will gesammelte Überwachungsdaten nicht löschen müssen. Deswegen klagt die Polizei gegen einen Bescheid des obersten Datenschützers.
    Eine Exklusivmeldung von Lennart Mühlenmeier

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • iPhone 14 Plus jetzt erhältlich • Günstig wie nie: Gigabyte RTX 3090 Ti 1.099€, Sapphire RX 6900 XT 834,99€, KF DDR5-5600 16GB 99,39€, Logitech Gaming-Maus 69,99€, MSI Curved 27" WQHD 165Hz 289€ • AMD Ryzen 7 5800X3D 429€ • NfS Unbound vorbestellbar • 3 Spiele für 49€ [Werbung]
    •  /