Kaspersky Lab hat eine Zero-Day-Sicherheitslücke in Microsoft Windows gefunden und diese in Zusammenarbeit mit Microsoft erfolgreich geschlossen. Der in den letzten Wochen berühmt-berüchtigt gewordene Wurm Stuxnet (Worm.Win32.Stuxnet) ist ursprünglich ein Industriespionage-Tool. Er wurde entwickelt, um Zugang zum Siemens WinCC-Betriebssystem zu erlangen, das für Datensammlung und Produktionsüberwachung zuständig ist.

Seit seinem ersten Auftauchen im Juli 2010 haben IT-Sicherheitsexperten Stuxnet in seiner Vorgehensweise und seinen Einsatzmöglichkeiten genau analysiert. Hierbei konnten sie feststellen, dass Stuxnet nicht nur, wie anfangs beobachtet, LNK- und PIF-Dateien befällt, sondern zusätzlich vier weitere Sicherheitslücken in Windows nutzt. Ein derartiges Beispiel ist MS08-067: Diese Lücke wurde Anfang 2009 schon von dem berüchtigten Wurm Kido (Conficker) genutzt. Die anderen drei Sicherheitslücken waren zunächst noch unbekannt und bestehen in der aktuellen Version von Windows.

Gemeinsam mit MS08-067 nutzt Stuxnet eine weitere Lücke, um sich zu verbreiten. Sie ist im Windows Print Spooler angelegt und kann dazu benutzt werden, Schadcode an einen Remote-Computer zu schicken, wo er dann ausgeführt wird. Aufgrund der Funktionalität dieser Schwachstelle kann sich der Schadcode auf Computern verbreiten, die einen gemeinsamen Drucker oder einen gemeinsamen Zugang benutzen. Besonders anfällig für diese Art der Infektionsverbreitung sind Netzwerkcomputer.

Als die Experten von Kaspersky Lab diese Schwachstelle erkannten, gaben sie die Information sofort an Microsoft weiter. Microsoft bestätigte nach eigener Überprüfung die Analyse von Kaspersky Lab. Die Sicherheitslücke wurde als so genannte „Print-Spooler-Service-Impersonation-Schwachstelle“ klassifiziert und als kritisch eingestuft. Microsoft machte sich sofort daran, die Lücke zu schließen und veröffentlichte am 14. September 2010 den entsprechenden Patch MS10-061.

Kaspersky Lab entdeckte noch eine weitere Zero-Day-Schwachstelle im Stuxnet-Code. Diese als „Elevation of Privilege" (EoP) klassifizierte Schwachstelle könnte von einem Wurm ausgenutzt werden, um einen infizierten Computer komplett zu kontrollieren. Eine ähnliche EoP-Schwachstelle wurde von den Microsoft-Experten erkannt. Beide Schwachstellen werden in Zukunft über Sicherheits-Updates für Windows-Betriebssysteme behoben werden.

„Stuxnet war das erste Schadprogramm, das gleichzeitig mehr als vier Schwachstellen ausnutzte", erklärt Alexander Gostev, Chief Security Expert bei Kaspersky Lab. „Das macht Stuxnet einzigartig. Bevor wir diese Sicherheitslücke erkannten, wäre sie für Hacker ein Vermögen wert gewesen. Die Tatsache, dass Stuxnet digitale Zertifikate von Realtek und Jmicron ausnutzt und letztlich entwickelt wurde, um in Simatic WinCC SCADA gespeicherte Daten zu stehlen, macht Stuxnet wirklich einzigartig. Die Malware-Autoren haben hier bemerkenswerte Programmierkenntnisse an den Tag gelegt."

Alle Produkte von Kaspersky Lab sind in der Lage, Stuxnet erfolgreich zu erkennen und zu neutralisieren.

Die Vorgehensweise von Kaspersky Lab beschreibt Alexander Gostev in seinem Blogbeitrag:
http://www.securelist.com/en/blog/2291/Myrtus_and_Guava_Episode_MS10_061.