Wurm

40 Stunden gegen Stuxnet

Vier der fünf Sicherheitslücken, die der Stuxnet-Wurm ausnutzte, waren für Microsoft eine Überraschung - Zeroday-Exploits. Dennoch gelang es den Mitarbeitern des Konzerns recht schnell, eine zur Verfügung gestellte Probe auseinanderzunehmen.

Artikel veröffentlicht am ,
Wurm: 40 Stunden gegen Stuxnet

Bruce Dang vom Microsoft Security Response Center (MSRC) hat auf dem 27. Chaos Communication Congress die Sicht des Windows-Entwicklers auf Stuxnet dargelegt. Er benötigte mit Hilfe seiner Kollegen etwa 40 Mannstunden, um den Wurm zu analysieren und die Schwachstellen in den betroffenen Windows-Systemen zu beseitigen.

Inhalt:
  1. Wurm: 40 Stunden gegen Stuxnet
  2. Infektion per Tastaturlayout
  3. Wer war's?

Der erste Hinweis auf die Malware kam von dem weißrussischen Sicherheitsanbieter Virusblokada, der Dang den 1 MByte großen Wurm auf einem USB-Stick zur Verfügung stellte. Weitere Hinweise zu der Verbreitungsform des Wurms im Netzwerk kamen von den Sicherheitsexperten von Kaspersky.

Wurm von links

Stuxnet nutze zunächst die LNK-Schwachstelle bei der Verarbeitung von Verknüpfungen (.lnk) in Verbindung mit dem Nachladen der dazugehören Icons durch die Windows Shell, über die eine speziell präparierte Verknüpfung zur Ausführung von Schadcode verwendet werden kann - selbst bei deaktiviertem Autostart, was bei Windows 7 normalerweise der Fall ist. Dabei lädt die Funktion Loadlibrary() Icons über das LoadCPLModule.

Zunächst fanden die Microsoft-Mitarbeiter eine Lösung für die LNK-Schwachstelle: Künftig müssen Applets registriert sein, bevor sie Icons laden können. Microsoft veröffentlichte einen entsprechenden, außerplanmäßigen Patch im August 2010.

Rootkit als Überraschung

Stellenmarkt
  1. Informatiker (m/w/d) als IT-Sachbearbeiter (m/w/d)
    Kommunale Unfallversicherung Bayern, München
  2. Leiter Netzwerkinfrastruktur (m/w/d)
    Hays AG, Dresden
Detailsuche

Die beiden Entwickler, die an der Analyse von Stuxnet arbeiteten, bemerkten kurz darauf, dass auf ihren jeweiligen Systemen - Windows XP und Windows 7 - ein neuer Treiber installiert war. Zunächst konnten sie sich nicht erklären, wie die Rootkits auf ihre jeweiligen Rechner gelangten.

Die Analyse der Prozess- und Event-Logs ergab, dass über den Task-Scheduler XML-Dateien erstellt, gelesen und neu geschrieben wurden - und zwar mit erhöhten Rechten von Localsystem. Dangs damalige Reaktion auf den Fund waren die Worte: "Holy shit, that's not good".

Der Fehler lag in unzureichenden Hash-Werten, die über das veraltete CRC32 für jede XML-Datei erstellt wurden. Ein einfaches Padding der XML-Datei und ein erneutes Hashing, bis der neue Hashwert wieder dem Original entsprach, trickste den Task-Scheduler so aus, dass er auch veränderte Dateien akzeptierte.

Zusammen mit den Task-Scheduler-Entwicklern kam man auf die Lösung, künftig Hash-Werte mit SHA256 zu erstellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Infektion per Tastaturlayout 
  1. 1
  2. 2
  3. 3
  4.  


oldman 29. Dez 2010

Also erstmal ist jede A-Bombe eine zuviel, egal in wessen Besitz sie ist. Weiterhin...

Fuscher 29. Dez 2010

Den Artikel gelesen? Falls nein: Die Macher von Stuxnet, davon kann ausgegangen werden...

SPS Experte 29. Dez 2010

Jaein. Die (produzierenden) Maschinen selber laufen nicht unter Windows, aber die...



Aktuell auf der Startseite von Golem.de
Wissenschaft
Der Durchbruch in der Kernfusion ist ein Etikettenschwindel

National Ignition Facility hat das Lawson-Kriterium der Kernfusion erreicht, aber das gilt nur für echte Reaktoren, keine Laserexperimente.
Ein IMHO von Frank Wunderlich-Pfeiffer

Wissenschaft: Der Durchbruch in der Kernfusion ist ein Etikettenschwindel
Artikel
  1. THG-Prämie: Das fragwürdige Abkassieren mit der eigenen Wallbox
    THG-Prämie
    Das fragwürdige Abkassieren mit der eigenen Wallbox

    Findige Vermittler bieten privaten Wallbox-Besitzern Zusatzeinnahmen für ihren Ladestrom. Wettbewerber sind empört.
    Ein Bericht von Dirk Kunde

  2. Erazer Engineer X20: Aldi-PC mit Geforce RTX 3070 für 1.800 Euro
    Erazer Engineer X20
    Aldi-PC mit Geforce RTX 3070 für 1.800 Euro

    Das Gaming-System von Aldi kombiniert acht Alder-Lake-Kerne mit einer Ampere-Grafikkarte und 32 GByte RAM, dazu ein Inwin-Gehäuse.

  3. Internet: Indien verbannt den VLC Media Player
    Internet
    Indien verbannt den VLC Media Player

    Weder Downloadlink noch Webseite des VLC Media Players können von Indien aus aufgerufen werden. Der vermutete Grund: das Nachbarland China.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • Playstation Sale: Games für PS5/PS4 bis 84% günstiger • Günstig wie nie: SSD 1TB/2TB, Curved Monitor UWQHD LG 38"/BenQ 32" • Razer-Aktion • MindStar (AMD Ryzen 7 5800X3D 455€, MSI RTX 3070 599€) • Lego Star Wars Neuheiten • Bester Gaming-PC für 2.000€ [Werbung]
    •  /