Abo
  • Services:
Anzeige
Wurm: 40 Stunden gegen Stuxnet

Wurm

40 Stunden gegen Stuxnet

Vier der fünf Sicherheitslücken, die der Stuxnet-Wurm ausnutzte, waren für Microsoft eine Überraschung - Zeroday-Exploits. Dennoch gelang es den Mitarbeitern des Konzerns recht schnell, eine zur Verfügung gestellte Probe auseinanderzunehmen.

Bruce Dang vom Microsoft Security Response Center (MSRC) hat auf dem 27. Chaos Communication Congress die Sicht des Windows-Entwicklers auf Stuxnet dargelegt. Er benötigte mit Hilfe seiner Kollegen etwa 40 Mannstunden, um den Wurm zu analysieren und die Schwachstellen in den betroffenen Windows-Systemen zu beseitigen.

Anzeige

Der erste Hinweis auf die Malware kam von dem weißrussischen Sicherheitsanbieter Virusblokada, der Dang den 1 MByte großen Wurm auf einem USB-Stick zur Verfügung stellte. Weitere Hinweise zu der Verbreitungsform des Wurms im Netzwerk kamen von den Sicherheitsexperten von Kaspersky.

Wurm von links

Stuxnet nutze zunächst die LNK-Schwachstelle bei der Verarbeitung von Verknüpfungen (.lnk) in Verbindung mit dem Nachladen der dazugehören Icons durch die Windows Shell, über die eine speziell präparierte Verknüpfung zur Ausführung von Schadcode verwendet werden kann - selbst bei deaktiviertem Autostart, was bei Windows 7 normalerweise der Fall ist. Dabei lädt die Funktion Loadlibrary() Icons über das LoadCPLModule.

Zunächst fanden die Microsoft-Mitarbeiter eine Lösung für die LNK-Schwachstelle: Künftig müssen Applets registriert sein, bevor sie Icons laden können. Microsoft veröffentlichte einen entsprechenden, außerplanmäßigen Patch im August 2010.

Rootkit als Überraschung

Die beiden Entwickler, die an der Analyse von Stuxnet arbeiteten, bemerkten kurz darauf, dass auf ihren jeweiligen Systemen - Windows XP und Windows 7 - ein neuer Treiber installiert war. Zunächst konnten sie sich nicht erklären, wie die Rootkits auf ihre jeweiligen Rechner gelangten.

Die Analyse der Prozess- und Event-Logs ergab, dass über den Task-Scheduler XML-Dateien erstellt, gelesen und neu geschrieben wurden - und zwar mit erhöhten Rechten von Localsystem. Dangs damalige Reaktion auf den Fund waren die Worte: "Holy shit, that's not good".

Der Fehler lag in unzureichenden Hash-Werten, die über das veraltete CRC32 für jede XML-Datei erstellt wurden. Ein einfaches Padding der XML-Datei und ein erneutes Hashing, bis der neue Hashwert wieder dem Original entsprach, trickste den Task-Scheduler so aus, dass er auch veränderte Dateien akzeptierte.

Zusammen mit den Task-Scheduler-Entwicklern kam man auf die Lösung, künftig Hash-Werte mit SHA256 zu erstellen.

Infektion per Tastaturlayout 

eye home zur Startseite
oldman 29. Dez 2010

Also erstmal ist jede A-Bombe eine zuviel, egal in wessen Besitz sie ist. Weiterhin...

Fuscher 29. Dez 2010

Den Artikel gelesen? Falls nein: Die Macher von Stuxnet, davon kann ausgegangen werden...

SPS Experte 29. Dez 2010

Jaein. Die (produzierenden) Maschinen selber laufen nicht unter Windows, aber die...

Loolig 29. Dez 2010

Also ich finde den O-Ton in diesem, Fall wesentlich amüsanter.. :)



Anzeige

Stellenmarkt
  1. NetApp Deutschland GmbH, Kirchheim bei München
  2. Hessisches Landeskriminalamt, Wiesbaden
  3. Helicopter Flight Training Services GmbH, Bückeburg
  4. über KILMONA PersonalManagement GmbH, Großraum Karlsruhe


Anzeige
Spiele-Angebote
  1. 21,99€
  2. (-63%) 7,49€
  3. (-15%) 16,99€

Folgen Sie uns
       


  1. Fake News

    Murdoch fordert von Facebook Sendegebühr für Medien

  2. Diewithme

    Zusammen im Chat den Akkutod sterben

  3. Soziales Netzwerk

    Facebook sorgt sich um seine Auswirkungen auf die Demokratie

  4. Telefónica

    5G-Test für TV-Übertragung im Bayerischen Oberland

  5. Omega Timing

    Kamera mit 2.000 x 1 Pixeln sucht Sieger

  6. Autonomes Fahren

    Waymo testet in Atlanta

  7. Newsletter-Dienst

    Mailchimp verrät E-Mail-Adressen von Newsletter-Abonnenten

  8. Gegen FCC

    US-Bundesstaat Montana verlangt Netzneutralität für Behörden

  9. Digital Rights Management

    Denuvo von Sicherheitsanbieter Irdeto gekauft

  10. Android 8.1

    Oreo erkennt Qualität von WLAN-Netzwerk vor Verbindung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Microsoft: Großer Widerstand gegen US-Zugriff auf weltweite Cloud-Daten
Microsoft
Großer Widerstand gegen US-Zugriff auf weltweite Cloud-Daten
  1. Marktforschung Viele Android-Apps kollidieren mit kommendem EU-Datenschutz
  2. Loki App zeigt Inhalte je nach Stimmung des Nutzers an
  3. EOS Schweiz Daten von Zehntausenden Inkassokunden kompromittiert

Updates: Wie man Spectre und Meltdown loswird
Updates
Wie man Spectre und Meltdown loswird
  1. Hacker One Nur 20 Prozent der Bounty-Jäger hacken in Vollzeit
  2. Wallet Programmierbare Kreditkarte mit ePaper, Akku und Mobilfunk
  3. Fehlalarm Falsche Raketenwarnung verunsichert Hawaii

Ein Jahr Trump: Der Cheerleader der deregulierten Wirtschaft
Ein Jahr Trump
Der Cheerleader der deregulierten Wirtschaft
  1. US-Wahl 2016 Twitter findet weitere russische Manipulationskonten
  2. F-52 Trump verkauft Kampfjets aus Call of Duty
  3. Raumfahrtpolitik Amerika will wieder zum Mond - und noch viel weiter

  1. Re: ich will einen "männlichen" Sprach-Assi,

    mehrfachgesperrt | 15:10

  2. Re: Warum verschweigt er das wahre Problem...

    nachgefragt | 15:09

  3. Re: Migration X11 -> Wayland

    Seitan-Sushi-Fan | 15:09

  4. Re: Die Alternative ist ...

    SJ | 15:09

  5. Re: Gefahr von weiterer Zerlegung?

    M.P. | 15:09


  1. 14:55

  2. 14:13

  3. 13:27

  4. 13:18

  5. 12:07

  6. 12:06

  7. 11:46

  8. 11:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel