Das Stuxnet-Echo

Unerwartete Untersuchungsergebnisse zu Angriffen mit Hilfe von Exploits zu Microsoft-Produkten

Wir bei Kaspersky Lab führen regelmäßig Untersuchungen zu einem konkreten Typ von Cyberbedrohungen durch. Zu Beginn dieses Jahres untersuchten wir eingehend die finanziellen Cyberbedrohungen, und Ende letzten Jahres analysierten wir vor dem Hintergrund des Auftauchens immer wieder neuer Sicherheitslücken in Java die Landschaft der Attacken auf die Anwender unserer Produkte, in denen Exploits zu Sicherheitslücken in der populären Software des Unternehmens Oracle zum Einsatz kamen.

In diesem Sommer haben wir einen Artikel mit dem Titel „Windows: Popularität und Sicherheitslücken“ vorbereitet, in dem wir herauszufinden versuchten, ob der Anteil der Anwender, die veraltete Windows-Versionen verwenden, groß ist oder nicht, und wie häufig die Nutzer mit Exploits unter Windows und anderen Microsoft-Produkten konfrontiert werden. Einige dieser Untersuchungsergebnisse erwiesen sich als völlig unerwartet.

Im Sommer 2010 ging die Kunde von der Existenz von Stuxnet um die Welt – einem Computerwurm, der – wie sich später herausstellte – eigens entwickelt wurde, um den Prozess der Urananreicherung in einigen Betrieben im Iran zu sabotieren. Stuxnet wurde zu einer wahren Bombe, die demonstrierte, was Malware in der Lage ist anzurichten, wenn ihr Ziel eng eingegrenzt ist und sie sorgfältig vorbereitet wird. Für die Verbreitung des Wurms wurde ein Exploit zu der Sicherheitslücke CVE-2010-2568 verwendet. Bei dieser Sicherheitslücke handelt es sich um einen Fehler in der Verarbeitung von Shortcuts im Betriebssystem Windows, der es ermöglicht, willkürliche dynamische Bibliotheken ohne Wissen des Anwenders zu laden. Die Schwachstelle betraf Windows XP, Vista, 7, sowie Windows Server 2003 und 2008.

Die ersten Schadprogramme, die diese Sicherheitslücke ausnutzten, wurden im Juli 2010 entdeckt. Unter anderem benutzte der Wurm Sality sie zur Verbreitung des eigenen Codes: Der Wurm generiert verwundbare Shortcuts und verbreitet sie innerhalb des lokalen Netzes. Der User muss nur einen Ordner öffnen, der einen solchen Shortcut enthält, und schon wird das bösartige Programm gestartet. Nach Sality und Stuxnet nutzten auch die bekannten Spionage-Programme Flame und Gauss diese Sicherheitslücke aus.

Microsoft gab ein Sicherheits-Update heraus, das die Schwachstelle noch im Herbst 2010 beseitigte. Ungeachtet dessen registrieren die Detektionssysteme von Kaspersky Lab bis zum heutigen Tag Dutzende Millionen Alarme aufgrund von Exploits, die die Sicherheitslücke CVE-2010-2568 ausnutzen. Tatsächlich wurden innerhalb des Untersuchungszeitraums 50 Millionen Alarme auf über 19 Millionen Computern weltweit registriert.

Überaus aussagekräftig ist auch die Verteilung der Betriebssysteme, auf denen die Alarme auf Exploits zu der LNK-Sicherheitslücke registriert wurden. Der Löwenanteil der Alarme (64,19%) entfiel in den letzten acht Monaten auf XP und nur 27,99% auf Windows 7. Die Produkte von Kaspersky Lab, die die Server-Betriebssysteme Windows Server 2003 und 2008 schützen, melden ebenfalls regelmäßig Detektionen von derartigen Exploits, und zwar 1,58% und 3,99% der Alarme respektive. Die große Zahl von Alarmen, die auf die Nutzer von XP entfallen, zeugt davon, dass auf den meisten dieser Computer entweder keine Schutzlösung installiert ist oder dass eine verwundbare Windows-Version verwendet wird – oder dass beides zutrifft. Die Alarme von den Server-Systemen sind ein Beleg für das Vorhandensein schädlicher Shortcuts in Netzverzeichnissen mit öffentlichem Zugriff, die die Sicherheitslücke CVE-2010-2568 ausnutzen.

Interessant ist auch die geografische Verteilung aller registrierten Alarme aufgrund der Sicherheitslücke CVE-2010-2568.

Das Stuxnet-Echo


Geografische Verteilung der Alarme der Produkte von Kaspersky Lab auf Exploits für die Sicherheitslücke CVE-2010-2568 von November 2013 bis Juni 2014

Wie man sieht, sind Vietnam (42,45%), Indien (11,7%) und Algerien (5,52%) nicht nur führend, wenn es um den Nutzungsanteil des veralteten Betriebssystems XP geht, sondern sie liegen auch auf den ersten Plätzen nach Anzahl der Alarme der Schutzprodukte von Kaspersky Lab auf eine der gefährlichsten Sicherheitslücken in Windows, die zum gegenwärtigen Zeitpunkt bekannt ist. Bemerkenswert ist auch, dass den Daten derselben Untersuchung zufolge eben diese drei Länder nach Anteil der Nutzer des veralteten Betriebssystems Windows XP ebenfalls an der Spitze stehen.

Vietnam 38.79%
China 27.35%
Indien 26.88%
Algerien 24.25%
Italien 20.31%
Spanien 19.26%
Russische Föderation 17.40%
Frankreich 12.04%
Deutschland 8.54%
USA 4.52%

TOP 10 der Länder mit dem größten Anteil an Anwendern von Windows XP an allen Windows-Anwendern

Es ist kein Wunder, dass die Attacken, die die Sicherheitslücke CVE-2010-2568 ausnutzen, bis heute so verbreitet sind. Die Tatsache, dass so viele Nutzer noch immer verwundbare Systeme verwenden, trägt dazu bei, dass die Exploits zu dieser Sicherheitslücke nach wie vor effektiv sind – und zwar selbst vier Jahre, nachdem ein Patch veröffentlicht wurde, das diese Schwachstelle beseitigt.

Alle weiteren Untersuchungsergebnisse und die vollständige Version des Berichts „Windows: Popularität und Sicherheitslücken“ finden Sie hier.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.