Abo
  • Services:
Anzeige
Wurm: 40 Stunden gegen Stuxnet

Infektion per Tastaturlayout

Auf Windows-XP-Systemen gibt es diese Lücke nicht, dennoch konnte der Wurm auch hier das Rootkit installieren. Dang fiel bei der Analyse unter Windows XP auf, dass Stuxnet in der Datei Win32k.sys etwas suchte. Dann entdeckte er, dass Stuxnet über NtVirtualAllocateMemory Speicher alloziert und dass Tastaturlayouts geladen werden. Während ab Windows Vista die Layouts nur aus dem %system%-Pfad lädt, können sie unter Windows XP überall liegen.

Anzeige

Im Kernel-Modus wird aus den Layoutdateien ein Integerwert geladen, der als Index dient. Dabei wurde die Feldgrenze des geladenen Index aber nicht überprüft. Durch den daraus resultierenden Pufferüberlauf konnte Code mit erhöhten Rechten ausgeführt werden.

Drucker-Spooler als Wurmträger

Zudem verbreitete sich der Wurm unkontrolliert über das Netz. Hier kamen die Entwickler auf eine weitere Schwachstelle im Drucker-Spooler unter Windows XP. Da auch Gäste auf freigegebene Drucker im Netz zugreifen können, sie aber eigentlich nicht genügend Rechte besitzen, um den Druckauftrag auszuführen, übernimmt der Spooler den Auftrag und führt ihn als Systembenutzer aus.

Stuxnet gab über den Spooler den Befehl aus, Druckaufträge in eine Datei zu schreiben und verbreitete so eine EXE- und MOF-Datei. Diese Schwachstelle wurde mit Hilfe der zuständigen Programmierer ebenfalls behoben.

Zeitfresser Patcherstellung

Für die Analyse von Stuxnet haben Dang und seine Kollegen etwa 40 Stunden gebraucht, verteilt auf einen Zeitraum von drei bis vier Tagen. Sie wurden immer wieder von den neuen Sicherheitslücken überrascht - was Dang in seinem Vortrag häufig mit "What the fuck, dude." kommentierte. Eine große Hilfe war zudem das Moskauer Kaspersky-Team, das auf die Spooling-Lücke hingewiesen hatte, sagte Dang. Microsoft und Kaspersky haben ihr Wissen während der gesamten Zeit geteilt, obwohl Microsoft darauf aus war, zuerst mit der Analyse von Stuxnet fertig zu werden.

Die Entwicklung und das Testen der Patches hat dann allerdings länger gedauert. Die letzte Sicherheitslücke von Stuxnet wurde erst Mitte Dezember 2010 beseitigt. Hin und wieder wurde auch ein Patch verworfen, denn er hätte zu Kompatibilitätsproblemen führen können. Nachdem die letzte Lücke geschlossen wurde, darf Dang auch offen über die Sicherheitsprobleme sprechen - was er unumwunden tat.

 Wurm: 40 Stunden gegen StuxnetWer war's? 

eye home zur Startseite
oldman 29. Dez 2010

Also erstmal ist jede A-Bombe eine zuviel, egal in wessen Besitz sie ist. Weiterhin...

Fuscher 29. Dez 2010

Den Artikel gelesen? Falls nein: Die Macher von Stuxnet, davon kann ausgegangen werden...

SPS Experte 29. Dez 2010

Jaein. Die (produzierenden) Maschinen selber laufen nicht unter Windows, aber die...

Loolig 29. Dez 2010

Also ich finde den O-Ton in diesem, Fall wesentlich amüsanter.. :)



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Berlin, Frankfurt, Nürnberg, Zwickau, Dresden
  2. Daimler AG, Stuttgart-Fellbach
  3. Media Carrier GmbH, München
  4. Deutsche Hypothekenbank AG, Hannover


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 59,90€

Folgen Sie uns
       


  1. GTA 5

    Goldener Revolver für Red Dead Redemption 2 versteckt

  2. Geldwäsche

    EU will den Bitcoin weniger anonym machen

  3. Soziale Medien

    Facebook-Forscher finden Facebook problematisch

  4. Streit um Stream On

    Die Telekom spielt das Uber-Spiel

  5. US-Verteidigungsministerium

    Pentagon forschte jahrelang heimlich nach Ufos

  6. Age of Empires (1997)

    Mit sanftem "Wololo" durch die Antike

  7. Augmented Reality

    Google stellt Project Tango ein

  8. Uber vs. Waymo

    Uber spionierte Konkurrenten aus

  9. Die Woche im Video

    Amerika, Amerika, BVG, Amerika, Security

  10. HTTPS

    Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
360-Grad-Kameras im Vergleich: Alles so schön rund hier
360-Grad-Kameras im Vergleich
Alles so schön rund hier
  1. USB-C DxO zeigt Ansteckkamera für Android-Smartphones
  2. G1 X Mark III Erste Kompaktkamera mit APS-C-Sensor von Canon
  3. Ozo Nokia hat keine Lust mehr auf VR-Hardware

E-Ticket Deutschland bei der BVG: Bewegungspunkt am Straßenstrich
E-Ticket Deutschland bei der BVG
Bewegungspunkt am Straßenstrich
  1. Handy-Ticket in Berlin BVG will Check-in/Be-out-System in Bussen testen
  2. VBB Schwarzfahrer trotz Handy-Ticket

LG 32UD99-W im Test: Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
LG 32UD99-W im Test
Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
  1. Android-Updates Krack-Patches für Android, aber nicht für Pixel-Telefone
  2. Check Point LGs smarter Staubsauger lässt sich heimlich fernsteuern

  1. Scheissteil

    grumbazor | 15:11

  2. Re: Erst mal flächendeckend ins Spiel bringen.

    ML82 | 15:11

  3. Re: Und 2m daneben...

    Pedrass Foch | 15:10

  4. Re: Dringende Aufforderung, meine Beiträge auch...

    ChMu | 15:10

  5. Re: Problem: Generierung von Bitcoin-Vermögen

    Mingfu | 15:10


  1. 14:17

  2. 13:34

  3. 12:33

  4. 11:38

  5. 10:34

  6. 08:00

  7. 12:47

  8. 11:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel