• IT-Karriere:
  • Services:

Infektion per Tastaturlayout

Auf Windows-XP-Systemen gibt es diese Lücke nicht, dennoch konnte der Wurm auch hier das Rootkit installieren. Dang fiel bei der Analyse unter Windows XP auf, dass Stuxnet in der Datei Win32k.sys etwas suchte. Dann entdeckte er, dass Stuxnet über NtVirtualAllocateMemory Speicher alloziert und dass Tastaturlayouts geladen werden. Während ab Windows Vista die Layouts nur aus dem %system%-Pfad lädt, können sie unter Windows XP überall liegen.

Stellenmarkt
  1. Stromnetz Hamburg GmbH, Hamburg
  2. Deutsche Rentenversicherung Bund, Berlin

Im Kernel-Modus wird aus den Layoutdateien ein Integerwert geladen, der als Index dient. Dabei wurde die Feldgrenze des geladenen Index aber nicht überprüft. Durch den daraus resultierenden Pufferüberlauf konnte Code mit erhöhten Rechten ausgeführt werden.

Drucker-Spooler als Wurmträger

Zudem verbreitete sich der Wurm unkontrolliert über das Netz. Hier kamen die Entwickler auf eine weitere Schwachstelle im Drucker-Spooler unter Windows XP. Da auch Gäste auf freigegebene Drucker im Netz zugreifen können, sie aber eigentlich nicht genügend Rechte besitzen, um den Druckauftrag auszuführen, übernimmt der Spooler den Auftrag und führt ihn als Systembenutzer aus.

Stuxnet gab über den Spooler den Befehl aus, Druckaufträge in eine Datei zu schreiben und verbreitete so eine EXE- und MOF-Datei. Diese Schwachstelle wurde mit Hilfe der zuständigen Programmierer ebenfalls behoben.

Zeitfresser Patcherstellung

Für die Analyse von Stuxnet haben Dang und seine Kollegen etwa 40 Stunden gebraucht, verteilt auf einen Zeitraum von drei bis vier Tagen. Sie wurden immer wieder von den neuen Sicherheitslücken überrascht - was Dang in seinem Vortrag häufig mit "What the fuck, dude." kommentierte. Eine große Hilfe war zudem das Moskauer Kaspersky-Team, das auf die Spooling-Lücke hingewiesen hatte, sagte Dang. Microsoft und Kaspersky haben ihr Wissen während der gesamten Zeit geteilt, obwohl Microsoft darauf aus war, zuerst mit der Analyse von Stuxnet fertig zu werden.

Die Entwicklung und das Testen der Patches hat dann allerdings länger gedauert. Die letzte Sicherheitslücke von Stuxnet wurde erst Mitte Dezember 2010 beseitigt. Hin und wieder wurde auch ein Patch verworfen, denn er hätte zu Kompatibilitätsproblemen führen können. Nachdem die letzte Lücke geschlossen wurde, darf Dang auch offen über die Sicherheitsprobleme sprechen - was er unumwunden tat.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Wurm: 40 Stunden gegen StuxnetWer war's? 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Hardware-Angebote
  1. (u. a. 3er Pack Lüfter LL120 RGB für 102,90€, Crystal 680X RGB Gehäuse für 249,90€)
  2. täglich neue Deals bei Alternate.de

oldman 29. Dez 2010

Also erstmal ist jede A-Bombe eine zuviel, egal in wessen Besitz sie ist. Weiterhin...

Fuscher 29. Dez 2010

Den Artikel gelesen? Falls nein: Die Macher von Stuxnet, davon kann ausgegangen werden...

SPS Experte 29. Dez 2010

Jaein. Die (produzierenden) Maschinen selber laufen nicht unter Windows, aber die...

Loolig 29. Dez 2010

Also ich finde den O-Ton in diesem, Fall wesentlich amüsanter.. :)


Folgen Sie uns
       


Razer Eracing Simulator ausprobiert (CES 2020)

Der Eracing Simulator von Razer versucht, das Fahrgefühl in einem Rennwagen wiederzugeben. Dank Motoren und einer großen Leinwand ist die Immersion sehr gut, wie Golem.de im Hands on feststellen konnte.

Razer Eracing Simulator ausprobiert (CES 2020) Video aufrufen
Verkehr: Das Kaltstart-Dilemma der Autos mit Hybridantrieb
Verkehr
Das Kaltstart-Dilemma der Autos mit Hybridantrieb

Bei Hybridautos und Plugin-Hybriden kommt es häufiger zu Kaltstarts als bei normalen Verbrennungsmotoren - wenn der Verbrennungsmotor ausgeht und der Elektromotor das Auto durch die Stadt schiebt. Wie schnell lässt sich der Katalysator vorwärmen, damit er Abgase dennoch gut reinigen kann?
Von Rainer Klose

  1. Elektromobilität Umweltbonus gilt auch für Jahreswagen
  2. Renault City K-ZE Dacia plant City-Elektroauto
  3. Elektroautos EU-Kommission billigt höheren Umweltbonus

Unitymedia: Upgrade beim Kabelstandard, Downgrade bei Fritz OS
Unitymedia
Upgrade beim Kabelstandard, Downgrade bei Fritz OS

Der Kabelnetzbetreiber Unitymedia stellt sein Netz derzeit auf Docsis 3.1 um. Für Kunden kann das viel Arbeit beim Austausch ihrer Fritzbox bedeuten, wie ein Fallbeispiel zeigt.
Von Günther Born

  1. Hessen Vodafone bietet 1 GBit/s in 70 Städten und kleineren Orten
  2. Technetix Docsis 4.0 mit 10G im Kabelnetz wird Wirklichkeit
  3. Docsis 3.1 Magenta Telekom bringt Gigabit im Kabelnetz

Wolcen im Test: Düster, lootig, wuchtig!
Wolcen im Test
Düster, lootig, wuchtig!

Irgendwo zwischen Diablo und Grim Dawn: Die dreckige Spielwelt von Wolcen - Lords Of Mayhem ist Schauplatz für ein tolles Hack'n Slay - egal ob offline oder online, alleine oder gemeinsam. Und mit Cryengine.
Ein Test von Marc Sauter

  1. Project Mara Microsoft kündigt Psychoterror-Simulation an
  2. Active Gaming Footwear Puma blamiert sich mit Spielersocken
  3. Simulatoren Nach Feierabend Arbeiten spielen

    •  /