Gestohlene Stuxnet-Zertifikate verunsichern die IT-Welt


Gestohlene Stuxnet-Zertifikate verunsichern die IT-Welt

Die Zero-Day-Lücke Stuxnet verunsichert aktuell die Microsoft-Anwender. Laut BSI wurde die Schwachstelle, die sich vor allem über mobile Datenträger wie USB-Sticks verbreitet, für gezielte Angriffe im Unternehmensumfeld missbraucht. Kaspersky Lab identifiziert aktuell über 16.000 Komponenten von Stuxnet-Schadprogrammen. Die Süddeutsche Zeitung vermutet hinter Stuxnet Industriespionage oder einen Sabotageakt in großem Stil. Costin Raiu, Viren-Analyst bei Kaspersky Lab, informiert Unternehmensanwender über die aktuelle Gefahrenlage von Stuxnet.

Q&A über Stuxnet, von Costin Raiu, Viren-Analyst bei Kaspersky Lab

  1. Microsoft und Verisign haben die gestohlenen Realtek-Zertifikate zurück genommen. Bedeutet das, dass Anwender ab sofort vor Stuxnet sicher sind? Durch die Funktionsweise solcher Zertifikate, bedeutet das nicht, dass die Schadprogramme nicht mehr funktionieren. Man kann immer noch mit Stuxnet infiziert werden und der Treiber wird sicher immer noch ohne jede Vorwarnung selbstständig laden. Die einzige Auswirkung durch die Rückrufaktion von Microsoft und Verisign ist, dass Cyberkriminelle nicht mehr in der Lage sind, weitere Malware mit Stuxnet nachzuladen.
  2. Wie wurden die Zertifikate gestohlen? Bisher hat Kaspersky Lab Stuxnet-Treiber mit Zertifikaten der Unternehmen JMicron Technology und Realtek identifiziert. Es ist möglich, dass die Zertifikate mit Hilfe eines speziellen Trojaners wie Zeus gestohlen wurden. Damit wäre die Stuxnet-Affäre aber weitaus größer.
  3. Sind Anwender von Realtek- oder JMicron-Motherboards und/oder -Netzwerken besonders gefährdet? Bisher hat Kaspersky Lab keine verdächtigen Programme auf Realtek- oder JMicron-Hardware-Treibern gefunden.
  4. Microsoft und Verisign haben Zertifikate von Realtek und JMicron zurück genommen. Bedeutet das, dass die eingesetzten Realtek- beziehungsweise JMicron-Treiber nicht mehr funktionieren? Nein. Aufgrund der Art, wie Zertifikate und Signaturen arbeiten, hat der Widerruf keine Auswirkungen auf eingesetzte Treiber. Beide Unternehmen haben neue Zertifikate veröffentlicht, mit denen sie neue Treiber signieren können.
  5. Wird man in Zukunft mehr Malware mit Zertifikaten sehen? Wahrscheinlich ja. Derzeit gibt es bereits Zehntausende von Schadprogrammen, die digital signiert wurden.

Blogbeitrage der Kaspersky-Experten zu Stuxnet finden Sie unter:
http://www.securelist.com/en/blog/2236/Stuxnet_signed_certificates_frequently_asked_questions
http://www.securelist.com/en/blog/2234/Stuxnet_and_stolen_certificates
http://www.securelist.com/en/blog?print_mode=1&weblogid=269
http://www.securelist.com/en/blog?print_mode=1&weblogid=271
http://www.securelist.com/en/blog?print_mode=1&weblogid=272

Die Kaspersky Virus-Analysten bloggen regelmäßig über aktuelle Malware-Gefahren: in Deutsch auf http://www.viruslist.com/de/weblog und in Englisch auf http://www.securelist.com/en/blog.
23.07.2010