Alte Zero-Day-Schwachstelle im Kontext von Stuxnet gefährdet noch immer Millionen von Windows-Anwendern

22. August 2014
Allgemeine Informationen, Viren-News

CVE-2010-2568: Das ist die genaue Bezeichnung einer Schwachstelle im Betriebssystem Windows, die bereits 2010 entdeckt wurde – zeitgleich mit dem berüchtigten Wurm Stuxnet [1]. Offenbar versucht Malware auch heute noch diesen Exploit millionenfach auszunutzen. Im Rahmen der Studie „Windows Usage and Vulnerabilities“ [2], die zwischen November 2013 und Juni 2014 durchgeführt wurde, stellte Kaspersky Lab fest, dass innerhalb dieser acht Monate noch 19 Millionen Anwender mit dem alten Exploit konfrontiert wurden.

Bei CVE-2010-2568 handelt es sich um einen Fehler in Windows beim Laden von Verknüpfungen, der es Angreifern erlaubt, eigenmächtig und ohne Wissen der Anwender eine Dynamic Link Library (DLL) nachzuladen. Möglich ist das unter den Betriebssystemen Windows XP, Vista und Windows 7, sowie Windows Server 2003 und 2008. Der bekannteste und zugleich erste Schädling, der diese Schwachstelle nutzte, war der Stuxnet-Wurm, der im Jahr 2010 entdeckt wurde und wie bekannt Uran-Aufbereitungsanalagen und andere atomare Einrichtungen im Iran angriff.

Schwerpunkte liegen heute in Asien und bei Windows XP

Microsoft hatte zwar bereits im Herbst 2010 ein Sicherheitsupdate mit einem entsprechenden Patch für diese Schwachstelle veröffentlicht. Dennoch registriert die Sicherheitssoftware von Kaspersky Lab bis heute noch millionenfache Versuche von Malware, diese Schwachstelle auszunutzen.

Der größte Anteil fiel dabei mit 42,45 Prozent auf Nutzer in Vietnam, gefolgt von Indien (11,7 Prozent), Indonesien (9,43 Prozent), Brasilien (5,52 Prozent) und Algerien (3,74 Prozent). Das hängt vor allem damit zusammen, dass gerade in Vietnam, Indien und Algerien noch viele Rechner unter Windows XP arbeiten, also dem Betriebssystem, das mit 64,19 Prozent die meisten dieser Angriffe verzeichnen muss. Auf das derzeit weltweit am häufigsten genutzte Betriebssystem Windows 7 entfallen 27,99 Prozent. Es folgen Windows Server 2008 (3,99 Prozent) und 2003 (1,58 Prozent).

Wichtig: Wegen der sonderbaren Natur der Schwachstelle ist es nicht möglich, akkurat zwischen tatsächlich abgewehrten Angriffen durch Sicherheitslösungen von Kaspersky Lab und Alarmen, die lediglich durch die Erstellung von verwundbaren Verknüpfungen durch einen bestimmten Wurm ausgelöst wurden, zu unterscheiden.

Häufiges Auftreten als Zeichen mangelnder Rechnerwartung

Dennoch zeigen die hohen Zahlen, dass es weltweit immer noch viele Rechner gibt, die über CVE-2010-2568 angreifbar sind. Die Experten von Kaspersky Lab führen dies auf mangelnde Wartung von Servern zurück, die nicht regelmäßig aktualisiert wurden, oder auf denen überhaupt keine Sicherheitslösung installiert ist. So kann sich ein Wurm einnisten, der die Lücke ausnutzt und in einem häufig genutzten Dateiverzeichnis regelmäßig Verknüpfungen erstellt. Immer, wenn dort dann ein Anwender die Verknüpfung nutzt, schlagen die Sicherheitslösungen von Kaspersky Lab Alarm.

„Alle Unternehmen und Organisationen, die immer noch für diese Schwachstelle anfällige Server nutzen, setzen sich damit dem Risiko einer Infektion mit Schadsoftware aus“ mahnt Vyacheslav Zakorzhevsky, Head of Vulnerability Research Team bei Kaspersky Lab. „Wir bitten daher dringend die zuständigen IT-Manager, mehr Aufmerksamkeit auf regelmäßige Software-Updates der Rechner im Unternehmen zu legen und entsprechende Sicherheitslösungen einzusetzen.“

Die Experten von Kaspersky Lab empfehlen, jegliche Software immer aktuell zu halten und nicht mehr genutzte Software explizit zu löschen. Außerdem sollte jeder Rechner eine verlässliche Sicherheitslösung mit dediziertem Exploit-Schutz besitzen. Mit dem Automatischen Exploit-Schutz [3] von Kaspersky Lab können dank heuristischer Methoden selbst Angriffe auf noch unbekannte Schwachstellen erkannt und verhindert werden. Der Automatischen Exploit-Schutz ist in zahlreichen Produkten von Kaspersky Lab für Heimanwender und Unternehmen integriert, so auch in Kaspersky Internet Security – Multi-Device [4], Kaspersky Small Office Security [5] und Kaspersky Endpoint Security for Business [6].

Der Kaspersky-Report „Windows Usage & Vulnerabilites“ kann unter https://securelist.com/files/2014/08/Kaspersky_Lab_KSN_report_windows_usage_eng.pdf abgerufen werden.

[1] Pressemitteilung vom 24.09.2010 „Büchse der Pandora: Stuxnet läutet das Zeitalter der Cyberkriegsführung ein“:
http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/047_Stuxnet_Wurm_final.pdf

[2] https://securelist.com/files/2014/08/Kaspersky_Lab_KSN_report_windows_usage_eng.pdf

[3] http://media.kaspersky.com/pdf/kaspersky-lab-whitepaper-automatic-exploit-prevention.pdf

[4] http://www.kaspersky.com/de/multi-device-security

[5] http://www.kaspersky.com/de/small-office-security

[6] http://www.kaspersky.com/de/business

Nützliche Links:

 Share this page