Abo
  • Services:
Anzeige
Wurm: 40 Stunden gegen Stuxnet

Wurm

40 Stunden gegen Stuxnet

Vier der fünf Sicherheitslücken, die der Stuxnet-Wurm ausnutzte, waren für Microsoft eine Überraschung - Zeroday-Exploits. Dennoch gelang es den Mitarbeitern des Konzerns recht schnell, eine zur Verfügung gestellte Probe auseinanderzunehmen.

Bruce Dang vom Microsoft Security Response Center (MSRC) hat auf dem 27. Chaos Communication Congress die Sicht des Windows-Entwicklers auf Stuxnet dargelegt. Er benötigte mit Hilfe seiner Kollegen etwa 40 Mannstunden, um den Wurm zu analysieren und die Schwachstellen in den betroffenen Windows-Systemen zu beseitigen.

Anzeige

Der erste Hinweis auf die Malware kam von dem weißrussischen Sicherheitsanbieter Virusblokada, der Dang den 1 MByte großen Wurm auf einem USB-Stick zur Verfügung stellte. Weitere Hinweise zu der Verbreitungsform des Wurms im Netzwerk kamen von den Sicherheitsexperten von Kaspersky.

Wurm von links

Stuxnet nutze zunächst die LNK-Schwachstelle bei der Verarbeitung von Verknüpfungen (.lnk) in Verbindung mit dem Nachladen der dazugehören Icons durch die Windows Shell, über die eine speziell präparierte Verknüpfung zur Ausführung von Schadcode verwendet werden kann - selbst bei deaktiviertem Autostart, was bei Windows 7 normalerweise der Fall ist. Dabei lädt die Funktion Loadlibrary() Icons über das LoadCPLModule.

Zunächst fanden die Microsoft-Mitarbeiter eine Lösung für die LNK-Schwachstelle: Künftig müssen Applets registriert sein, bevor sie Icons laden können. Microsoft veröffentlichte einen entsprechenden, außerplanmäßigen Patch im August 2010.

Rootkit als Überraschung

Die beiden Entwickler, die an der Analyse von Stuxnet arbeiteten, bemerkten kurz darauf, dass auf ihren jeweiligen Systemen - Windows XP und Windows 7 - ein neuer Treiber installiert war. Zunächst konnten sie sich nicht erklären, wie die Rootkits auf ihre jeweiligen Rechner gelangten.

Die Analyse der Prozess- und Event-Logs ergab, dass über den Task-Scheduler XML-Dateien erstellt, gelesen und neu geschrieben wurden - und zwar mit erhöhten Rechten von Localsystem. Dangs damalige Reaktion auf den Fund waren die Worte: "Holy shit, that's not good".

Der Fehler lag in unzureichenden Hash-Werten, die über das veraltete CRC32 für jede XML-Datei erstellt wurden. Ein einfaches Padding der XML-Datei und ein erneutes Hashing, bis der neue Hashwert wieder dem Original entsprach, trickste den Task-Scheduler so aus, dass er auch veränderte Dateien akzeptierte.

Zusammen mit den Task-Scheduler-Entwicklern kam man auf die Lösung, künftig Hash-Werte mit SHA256 zu erstellen.

Infektion per Tastaturlayout 

eye home zur Startseite
oldman 29. Dez 2010

Also erstmal ist jede A-Bombe eine zuviel, egal in wessen Besitz sie ist. Weiterhin...

Fuscher 29. Dez 2010

Den Artikel gelesen? Falls nein: Die Macher von Stuxnet, davon kann ausgegangen werden...

SPS Experte 29. Dez 2010

Jaein. Die (produzierenden) Maschinen selber laufen nicht unter Windows, aber die...

Loolig 29. Dez 2010

Also ich finde den O-Ton in diesem, Fall wesentlich amüsanter.. :)



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, München
  2. OSRAM GmbH, Augsburg
  3. T-Systems International GmbH, Netphen
  4. operational services GmbH & Co. KG, deutschlandweit


Anzeige
Spiele-Angebote
  1. ab 59,00€ (Vorbesteller-Preisgarantie)
  2. 4,99€
  3. 8,99€

Folgen Sie uns
       


  1. Mass Effect

    Bioware erklärt Arbeit an Kampagne von Andromeda für beendet

  2. Kitkat-Werbespot

    Atari verklagt Nestlé wegen angeblichem Breakout-Imitat

  3. Smarter Lautsprecher

    Google Home erhält Bluetooth-Zuspielung und Spotify Free

  4. Reverb

    Smartphone-App aktiviert Alexa auf Zuruf

  5. Bildbearbeitung

    Google-Algorithmus entfernt Wasserzeichen auf Fotos

  6. Ladestationen

    Regierung lehnt Zwangsverkabelung von Tiefgaragen ab

  7. Raspberry Pi

    Raspbian auf Stretch upgedatet

  8. Trotz Förderung

    Breitbandausbau kommt nur schleppend voran

  9. Nvidia

    Keine Volta-basierten Geforces in 2017

  10. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Ausweis: Prepaid-Registrierung bislang nicht konsequent umgesetzt
Ausweis
Prepaid-Registrierung bislang nicht konsequent umgesetzt
  1. 10 GBit/s Erste 5G-Endgeräte sind noch einen Kubikmeter groß
  2. Verbraucherzentrale Datenlimits bei EU-Roaming wären vermeidbar
  3. Internet Anbieter umgehen Wegfall der EU-Roaming-Gebühren

  1. Re: Schade um die gute Z-Linie. Schlechtes Marketing?

    werpu | 19:04

  2. Re: Es gibt einen grundsätzlichen Denkfehler bei...

    ArcherV | 18:53

  3. Re: Ach Bioware....

    sovereign | 18:52

  4. Re: wieviel strom bekommt man mit 1200m²??

    s33 | 18:52

  5. Re: 200 km umgerechnet = maximal 2h fahrt mit 100Kmh

    nille02 | 18:51


  1. 13:33

  2. 13:01

  3. 12:32

  4. 11:50

  5. 14:38

  6. 12:42

  7. 11:59

  8. 11:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel