• IT-Karriere:
  • Services:

Wurm

40 Stunden gegen Stuxnet

Vier der fünf Sicherheitslücken, die der Stuxnet-Wurm ausnutzte, waren für Microsoft eine Überraschung - Zeroday-Exploits. Dennoch gelang es den Mitarbeitern des Konzerns recht schnell, eine zur Verfügung gestellte Probe auseinanderzunehmen.

Artikel veröffentlicht am ,
Wurm: 40 Stunden gegen Stuxnet

Bruce Dang vom Microsoft Security Response Center (MSRC) hat auf dem 27. Chaos Communication Congress die Sicht des Windows-Entwicklers auf Stuxnet dargelegt. Er benötigte mit Hilfe seiner Kollegen etwa 40 Mannstunden, um den Wurm zu analysieren und die Schwachstellen in den betroffenen Windows-Systemen zu beseitigen.

Inhalt:
  1. Wurm: 40 Stunden gegen Stuxnet
  2. Infektion per Tastaturlayout
  3. Wer war's?

Der erste Hinweis auf die Malware kam von dem weißrussischen Sicherheitsanbieter Virusblokada, der Dang den 1 MByte großen Wurm auf einem USB-Stick zur Verfügung stellte. Weitere Hinweise zu der Verbreitungsform des Wurms im Netzwerk kamen von den Sicherheitsexperten von Kaspersky.

Wurm von links

Stuxnet nutze zunächst die LNK-Schwachstelle bei der Verarbeitung von Verknüpfungen (.lnk) in Verbindung mit dem Nachladen der dazugehören Icons durch die Windows Shell, über die eine speziell präparierte Verknüpfung zur Ausführung von Schadcode verwendet werden kann - selbst bei deaktiviertem Autostart, was bei Windows 7 normalerweise der Fall ist. Dabei lädt die Funktion Loadlibrary() Icons über das LoadCPLModule.

Zunächst fanden die Microsoft-Mitarbeiter eine Lösung für die LNK-Schwachstelle: Künftig müssen Applets registriert sein, bevor sie Icons laden können. Microsoft veröffentlichte einen entsprechenden, außerplanmäßigen Patch im August 2010.

Rootkit als Überraschung

Stellenmarkt
  1. Klinikum Schloß Winnenden, Stuttgart
  2. InnoGames GmbH, Hamburg

Die beiden Entwickler, die an der Analyse von Stuxnet arbeiteten, bemerkten kurz darauf, dass auf ihren jeweiligen Systemen - Windows XP und Windows 7 - ein neuer Treiber installiert war. Zunächst konnten sie sich nicht erklären, wie die Rootkits auf ihre jeweiligen Rechner gelangten.

Die Analyse der Prozess- und Event-Logs ergab, dass über den Task-Scheduler XML-Dateien erstellt, gelesen und neu geschrieben wurden - und zwar mit erhöhten Rechten von Localsystem. Dangs damalige Reaktion auf den Fund waren die Worte: "Holy shit, that's not good".

Der Fehler lag in unzureichenden Hash-Werten, die über das veraltete CRC32 für jede XML-Datei erstellt wurden. Ein einfaches Padding der XML-Datei und ein erneutes Hashing, bis der neue Hashwert wieder dem Original entsprach, trickste den Task-Scheduler so aus, dass er auch veränderte Dateien akzeptierte.

Zusammen mit den Task-Scheduler-Entwicklern kam man auf die Lösung, künftig Hash-Werte mit SHA256 zu erstellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Infektion per Tastaturlayout 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Spiele-Angebote
  1. 4€
  2. (u. a. Unravel für 9,99€, Battlefield 1 für 7,99€, Anthem für 8,99€)
  3. 7,99€
  4. 15,99€

oldman 29. Dez 2010

Also erstmal ist jede A-Bombe eine zuviel, egal in wessen Besitz sie ist. Weiterhin...

Fuscher 29. Dez 2010

Den Artikel gelesen? Falls nein: Die Macher von Stuxnet, davon kann ausgegangen werden...

SPS Experte 29. Dez 2010

Jaein. Die (produzierenden) Maschinen selber laufen nicht unter Windows, aber die...

Loolig 29. Dez 2010

Also ich finde den O-Ton in diesem, Fall wesentlich amüsanter.. :)


Folgen Sie uns
       


Die Tesla-Baustelle von oben 2020-2021

Wir haben den Fortschritt in Grünheide dokumentiert.

Die Tesla-Baustelle von oben 2020-2021 Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /