Abo
  • Services:
Anzeige
Wurm: 40 Stunden gegen Stuxnet

Infektion per Tastaturlayout

Auf Windows-XP-Systemen gibt es diese Lücke nicht, dennoch konnte der Wurm auch hier das Rootkit installieren. Dang fiel bei der Analyse unter Windows XP auf, dass Stuxnet in der Datei Win32k.sys etwas suchte. Dann entdeckte er, dass Stuxnet über NtVirtualAllocateMemory Speicher alloziert und dass Tastaturlayouts geladen werden. Während ab Windows Vista die Layouts nur aus dem %system%-Pfad lädt, können sie unter Windows XP überall liegen.

Anzeige

Im Kernel-Modus wird aus den Layoutdateien ein Integerwert geladen, der als Index dient. Dabei wurde die Feldgrenze des geladenen Index aber nicht überprüft. Durch den daraus resultierenden Pufferüberlauf konnte Code mit erhöhten Rechten ausgeführt werden.

Drucker-Spooler als Wurmträger

Zudem verbreitete sich der Wurm unkontrolliert über das Netz. Hier kamen die Entwickler auf eine weitere Schwachstelle im Drucker-Spooler unter Windows XP. Da auch Gäste auf freigegebene Drucker im Netz zugreifen können, sie aber eigentlich nicht genügend Rechte besitzen, um den Druckauftrag auszuführen, übernimmt der Spooler den Auftrag und führt ihn als Systembenutzer aus.

Stuxnet gab über den Spooler den Befehl aus, Druckaufträge in eine Datei zu schreiben und verbreitete so eine EXE- und MOF-Datei. Diese Schwachstelle wurde mit Hilfe der zuständigen Programmierer ebenfalls behoben.

Zeitfresser Patcherstellung

Für die Analyse von Stuxnet haben Dang und seine Kollegen etwa 40 Stunden gebraucht, verteilt auf einen Zeitraum von drei bis vier Tagen. Sie wurden immer wieder von den neuen Sicherheitslücken überrascht - was Dang in seinem Vortrag häufig mit "What the fuck, dude." kommentierte. Eine große Hilfe war zudem das Moskauer Kaspersky-Team, das auf die Spooling-Lücke hingewiesen hatte, sagte Dang. Microsoft und Kaspersky haben ihr Wissen während der gesamten Zeit geteilt, obwohl Microsoft darauf aus war, zuerst mit der Analyse von Stuxnet fertig zu werden.

Die Entwicklung und das Testen der Patches hat dann allerdings länger gedauert. Die letzte Sicherheitslücke von Stuxnet wurde erst Mitte Dezember 2010 beseitigt. Hin und wieder wurde auch ein Patch verworfen, denn er hätte zu Kompatibilitätsproblemen führen können. Nachdem die letzte Lücke geschlossen wurde, darf Dang auch offen über die Sicherheitsprobleme sprechen - was er unumwunden tat.

 Wurm: 40 Stunden gegen StuxnetWer war's? 

eye home zur Startseite
oldman 29. Dez 2010

Also erstmal ist jede A-Bombe eine zuviel, egal in wessen Besitz sie ist. Weiterhin...

Fuscher 29. Dez 2010

Den Artikel gelesen? Falls nein: Die Macher von Stuxnet, davon kann ausgegangen werden...

SPS Experte 29. Dez 2010

Jaein. Die (produzierenden) Maschinen selber laufen nicht unter Windows, aber die...

Loolig 29. Dez 2010

Also ich finde den O-Ton in diesem, Fall wesentlich amüsanter.. :)



Anzeige

Stellenmarkt
  1. Gebr. Heller Maschinenfabrik GmbH, Nürtingen
  2. University of Passau, Passau
  3. Jetter AG, Ludwigsburg
  4. Fresenius Medical Care Deutschland GmbH, Bad Homburg


Anzeige
Spiele-Angebote
  1. 99,99€ mit Vorbesteller-Preisgarantie
  2. 57,99€/69,99€ (Vorbesteller-Preisgarantie)
  3. 8,99€

Folgen Sie uns
       


  1. Nvidia

    Keine Volta-basierten Geforces in 2017

  2. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro

  3. E-Commerce

    Kartellamt will Online-Shops des Einzelhandels schützen

  4. id Software

    Quake Champions startet in den Early Access

  5. Betrug

    Verbraucherzentrale warnt vor gefälschten Youporn-Mahnungen

  6. Lenovo

    Smartphone- und Servergeschäft sorgen für Verlust

  7. Open Source Projekt

    Oracle will Java EE abgeben

  8. Apple iPhone 5s

    Hacker veröffentlicht Secure-Enclave-Key für alte iPhones

  9. Forum

    Reddit bietet native Unterstützung von Videos

  10. Biomimetik

    Drohne landet kontrolliert an senkrechter Wand



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starcraft Remastered: "Mit den Protoss kann man seinen Gegner richtig nerven!"
Starcraft Remastered
"Mit den Protoss kann man seinen Gegner richtig nerven!"
  1. Blizzard Der Name Battle.net bleibt
  2. Blizzard Overwatch bekommt Deathmatches
  3. E-Sport Blizzard nutzt Gamescom für europäische WoW-Finalspiele

Game of Thrones: Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
Game of Thrones
Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
  1. HBO Nächste Episode von Game of Thrones geleakt
  2. Hack Game-of-Thrones-Skript von HBO geleakt
  3. Game of Thrones "Der Winter ist da und hat leider unsere Server eingefroren"

Radeon RX Vega 64 im Test: Schnell und durstig mit Potenzial
Radeon RX Vega 64 im Test
Schnell und durstig mit Potenzial
  1. Radeon RX Vega Mining-Treiber steigert MH/s deutlich
  2. Radeon RX Vega 56 im Test AMD positioniert sich in der Mitte
  3. Workstation AMD bringt Radeon Pro WX 9100

  1. Re: Standard-YouTube-Lizenz

    redmord | 00:13

  2. Re: Deshalb braucht man Konkurrenz

    xxsblack | 00:13

  3. Re: "Kriminelle Kampagnen werden immer raffinierter."

    Libertybell | 00:09

  4. Re: Das Spiel ist auf dem richtigen Weg!

    bynemesis | 00:03

  5. Re: Angeber-Specs

    cherubium | 00:01


  1. 17:56

  2. 16:20

  3. 15:30

  4. 15:07

  5. 14:54

  6. 13:48

  7. 13:15

  8. 12:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel