• IT-Karriere:
  • Services:

Wurm

40 Stunden gegen Stuxnet

Vier der fünf Sicherheitslücken, die der Stuxnet-Wurm ausnutzte, waren für Microsoft eine Überraschung - Zeroday-Exploits. Dennoch gelang es den Mitarbeitern des Konzerns recht schnell, eine zur Verfügung gestellte Probe auseinanderzunehmen.

Artikel veröffentlicht am ,
Wurm: 40 Stunden gegen Stuxnet

Bruce Dang vom Microsoft Security Response Center (MSRC) hat auf dem 27. Chaos Communication Congress die Sicht des Windows-Entwicklers auf Stuxnet dargelegt. Er benötigte mit Hilfe seiner Kollegen etwa 40 Mannstunden, um den Wurm zu analysieren und die Schwachstellen in den betroffenen Windows-Systemen zu beseitigen.

Inhalt:
  1. Wurm: 40 Stunden gegen Stuxnet
  2. Infektion per Tastaturlayout
  3. Wer war's?

Der erste Hinweis auf die Malware kam von dem weißrussischen Sicherheitsanbieter Virusblokada, der Dang den 1 MByte großen Wurm auf einem USB-Stick zur Verfügung stellte. Weitere Hinweise zu der Verbreitungsform des Wurms im Netzwerk kamen von den Sicherheitsexperten von Kaspersky.

Wurm von links

Stuxnet nutze zunächst die LNK-Schwachstelle bei der Verarbeitung von Verknüpfungen (.lnk) in Verbindung mit dem Nachladen der dazugehören Icons durch die Windows Shell, über die eine speziell präparierte Verknüpfung zur Ausführung von Schadcode verwendet werden kann - selbst bei deaktiviertem Autostart, was bei Windows 7 normalerweise der Fall ist. Dabei lädt die Funktion Loadlibrary() Icons über das LoadCPLModule.

Zunächst fanden die Microsoft-Mitarbeiter eine Lösung für die LNK-Schwachstelle: Künftig müssen Applets registriert sein, bevor sie Icons laden können. Microsoft veröffentlichte einen entsprechenden, außerplanmäßigen Patch im August 2010.

Rootkit als Überraschung

Stellenmarkt
  1. Deutsche Leasing AG, Bad Homburg
  2. Deutsche Rentenversicherung Bund, Berlin

Die beiden Entwickler, die an der Analyse von Stuxnet arbeiteten, bemerkten kurz darauf, dass auf ihren jeweiligen Systemen - Windows XP und Windows 7 - ein neuer Treiber installiert war. Zunächst konnten sie sich nicht erklären, wie die Rootkits auf ihre jeweiligen Rechner gelangten.

Die Analyse der Prozess- und Event-Logs ergab, dass über den Task-Scheduler XML-Dateien erstellt, gelesen und neu geschrieben wurden - und zwar mit erhöhten Rechten von Localsystem. Dangs damalige Reaktion auf den Fund waren die Worte: "Holy shit, that's not good".

Der Fehler lag in unzureichenden Hash-Werten, die über das veraltete CRC32 für jede XML-Datei erstellt wurden. Ein einfaches Padding der XML-Datei und ein erneutes Hashing, bis der neue Hashwert wieder dem Original entsprach, trickste den Task-Scheduler so aus, dass er auch veränderte Dateien akzeptierte.

Zusammen mit den Task-Scheduler-Entwicklern kam man auf die Lösung, künftig Hash-Werte mit SHA256 zu erstellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Infektion per Tastaturlayout 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Top-Angebote
  1. (u. a.Warhammer 40.000 Mechanicus für 13,99€, Pillars of Eternity für 15,99€, Surviving Mars...
  2. (u. a. 970 Evo 1 TB für 149,90€, 970 Evo 500 GB für 77,90€)
  3. (u. a. Acer 27 Zoll Monitor für 179,00€, Benq 27 Zoll Monitor für 132,90€, Logitech G613...
  4. 27,90€ (zzgl. Versand)

oldman 29. Dez 2010

Also erstmal ist jede A-Bombe eine zuviel, egal in wessen Besitz sie ist. Weiterhin...

Fuscher 29. Dez 2010

Den Artikel gelesen? Falls nein: Die Macher von Stuxnet, davon kann ausgegangen werden...

SPS Experte 29. Dez 2010

Jaein. Die (produzierenden) Maschinen selber laufen nicht unter Windows, aber die...

Loolig 29. Dez 2010

Also ich finde den O-Ton in diesem, Fall wesentlich amüsanter.. :)


Folgen Sie uns
       


Kuschelroboter Lovot angesehen (CES 2020)

Lovot ist ein kleiner Roboter, der bei seinem Besitzer für gute Stimmung sorgen soll. Er lässt sich streicheln und reagiert mit freudigen Geräuschen.

Kuschelroboter Lovot angesehen (CES 2020) Video aufrufen
Holo-Monitor angeschaut: Looking Glass' 8K-Monitor erzeugt Holo-Bild
Holo-Monitor angeschaut
Looking Glass' 8K-Monitor erzeugt Holo-Bild

CES 2020 Mit seinem neuen 8K-Monitor hat Looking Glass Factory eine Möglichkeit geschaffen, ohne zusätzliche Hardware 3D-Material zu betrachten. Die holographische Projektion wird in einem Glaskubus erzeugt und sieht beeindruckend realistisch aus.
Von Tobias Költzsch und Martin Wolf

  1. UHD Alliance Fernseher mit Filmmaker-Modus kommen noch 2020
  2. Alienware Concept Ufo im Hands on Die Switch für Erwachsene
  3. Galaxy Home Mini Samsung schraubt Erwartungen an Bixby herunter

Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch
  3. Consumer Electronics Show Die Konzept-Messe

Kailh-Box-Switches im Test: Besser und lauter geht ein klickender Switch kaum
Kailh-Box-Switches im Test
Besser und lauter geht ein klickender Switch kaum

Wer klickende Tastatur-Switches mag, wird die dunkelblauen Kailh-Box-Schalter lieben: Eine eingebaute Stahlfeder sorgt für zwei satte Klicks pro Anschlag. Im Test merken unsere Finger aber schnell den hohen taktilen Widerstand.
Ein Test von Tobias Költzsch

  1. Keychron K6 Kompakte drahtlose Tastatur mit austauschbaren Switches
  2. Charachorder Schneller tippen als die Tastatur erlaubt
  3. Brydge+ iPad-Tastatur mit Multi-Touch-Trackpad

    •  /