Myrte und Guave: Episode MS10-061

In den vergangenen Wochen stand die Forschungsarbeit der gesamten Antiviren-Industrie ganz im Zeichen des E-Mail-Wurms Stuxnet. Wir bei Kaspersky Lab haben unsere Ergebnisse in diversen Blogposts veröffentlicht und gleichzeitig unsere Analysen des Schädlings weitergeführt. Unsere „Blog-Reihe“ über Stuxnet mag zu einem Ende gekommen sein, was allerdings nicht bedeutet, dass wir unsere Forschungen über den Wurm eingestellt haben.

Unter anderem hat unsere Forschungsarbeit ergeben, dass Stuxnet mehrere Zero-Day-Lücken in Windows ausnutzt. Ja, Sie haben richtig gelesen – mehrere Zero-Day-Lücken.

Bisher konzentrierten sich die Analysen größtenteils auf die LNK/PIF-Sicherheitslücke, die von dem Wurm ausgenutzt wird, um sich über mobile Speichermedien sowie Netzwerke zu verbreiten. Aber es zeigte sich, dass dies nicht die einzige Überraschung war, die Stuxnet für uns bereithielt. Der Wurm verbreitet sich nicht einfach nur über die LNK-Schwachstelle. Hat er einem Computer erst einmal über ein lokales Netzwerk infiziert, versucht er anschließend, in weitere Computer einzudringen, indem er noch zwei andere Verbreitungsroutinen benutzt.

Zunächst einmal wurde Stuxnet für die Ausnutzung von MS08-067, dieselbe Sicherheitslücke, die auch von Kido (Conficker) Anfang 2009 ausgenutzt wurde, entwickelt.

Der Exploit-Code, den Stuxnet für seinen Angriff auf MS08-067 verwendet, unterscheidet sich nur leicht von dem von Kido benutzten Code. Das wirklich Interessante an der Sache jedoch ist die zweite Verbreitungsroutine.

Zusätzlich zu dem Exploit-Code für MS08-067 enthält Stuxnet ein Exploit für eine vorher noch nicht identifizierte Sicherheitslücke in dem Print Spooler-Dienst. Über diese Sicherheitslücke kann der Schadcode auf einen Remote-Computer gelangen und dort ausgeführt werden. Auf den angegriffenen Systemen erscheinen zwei Dateien (winsta.exe und sysnullevent.mof). Interessant ist nicht nur der Weg, auf dem der Schadcode auf den Remote-Computer gebracht wird, sondern ebenso die Art und Weise, wie der Code zur Ausführung gestartet wird.

Sofort nachdem wir die Schwachstelle entdeckt hatten, informierten wir unsere Kollegen von Microsoft, die unsere Feststellungen bestätigten. Die Lücke wurde als „Print Spooler Service Impersonation Vulnerability“ identifiziert und als „kritisch“ eingestuft. Heute veröffentlichte Microsoft MS10-061, ein Patch, mit dem die Schwachstelle beseitigt wird.

Eine Analyse der Schwachstelle brachte zutage, dass es Computer mit einem gemeinsamen Zugriff auf einen Drucker sind, bei denen die Gefahr einer Infektion besteht. Im Rahmen unserer Analyse durchsuchten wir unsere Malware-Kollektion nach anderen Schadprogrammen, die in der Lage sind, diese Lücke auszunutzen. Glücklicherweise wurden wir nicht fündig.

Der Gipfel von alldem war, dass wir noch eine weitere Zero-Day-Lücke in dem Stuxnet-Code fanden – diesmal handelte es sich um eine EoP-Sicherheitslücke (Elevation of Privilege = Ausweitung der Zugriffsrechte). Der Wurm nutzt diese Lücke aus, um die vollständige Kontrolle über das betroffene System zu erlangen. Mitarbeiter von Microsoft entdeckten eine zweite EoP-Lücke, und beide Sicherheitslücken werden in einem schon bald erscheinenden Sicherheitsbulletin geschlossen.

Die Tatsache, dass Stuxnet nicht gegen vier vorher nicht identifizierte Sicherheitslücken richtet, macht Stuxnet zu einer echten Ausnahme unter allen Computer-Schädlingen. Wir haben es zum ersten Mal mit einer Bedrohung zu tun, die dermaßen viele „Überraschungen“ bereit hält. Dazu kommt noch die Verwendung von Realtek- und JMicron-Zertifikaten und nicht vergessen sollte man das ultimative Ziel von Stuxnet, nämlich sich einen Zugriff auf Simatic WinCC SCADA-Systeme zu verschaffen.

Stuxnet wurde zweifelsohne von Profis geschrieben, die über weitreichende Kenntnisse über Antiviren-Technologien und deren Schwachstellen sowie über noch unbekannte Sicherheitslücken und die Architektur und Hardware von WinCC und PSC7 verfügen.

Gemeinsam mit Microsoft und weiteren AV-Unternehmen haben wir bisher zwei Monate damit zugebracht, den E-Mail-Wurm zu untersuchen und zu analysieren. Unsere Forschungsergebnisse, einschließlich einer detaillierten Analyse der Funktionsweise der Sicherheitslücke, werden wir Ende des Monats bei der Virus Bulletin Konferenz präsentieren.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.