Neue Windows-Lücke schlägt weitere Wellen

Ein für Industriespionage verteilter USB-Trojaner ist derzeit hauptsächlich in drei asiatischen Ländern verbreitet. Nicht nur seine trickreiche Arbeitsweise wirft einige Fragen hinsichtlich Herkunft, Entstehung und Ziel auf.

In Pocket speichern vorlesen Druckansicht 133 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Die am gestrigen Donnerstag gemeldete Sicherheitslücke in Windows bei der Verarbeitung von lnk-Dateien schlägt Wellen, weil der damit in Zusammenhang stehende Trojaner eine Vielzahl weitere Fragen aufwirft. Bislang hat sich der Trojaner laut Kaspersky offenbar nur im Iran, Indien und Indonesien nennenswert verbreitet, wobei in jedem Land zirka 5000 Rechner-Infektionen registriert wurden. 150 Infektionen hat Kaspersky in Russland und nur 5 in China gezählt.

Warum die Verbreitung des speziell zum Ausspähen von Prozessleittechniksystemen des Herstellers Siemens programmierten Schädlings so regional begrenzt ist, ist nicht bekannt. Auch ist unklar, wie Teile des für Industriespionage eingesetzten Trojaners in den Besitz einer gültigen (aber mittlerweile abgelaufenen) digitalen Signatur des Herstellers Realtek kam. Anfragen von heise Security an Realtek und an den Zertifikatsaussteller VeriSign blieben bislang unbeantwortet.

Es gibt aber bereits Spekulationen, dass ein ausgelagerter Softwarehersteller, der für Realteks Hardware die Treiber programmiert, die Software im Herstellungsprozess fälschlicherweise signierte oder ein dortiger Entwickler bestochen wurde. Da gerade Indien für viele internationale Unternehmen die Softwareentwicklung übernommen hat, könnte die regionale Verbreitung des Trojaners diese These stützen.

Auch wird in diversen Foren darüber diskutiert, ob das SCADA-Visualisierungssystem WinCC von Siemens möglicherweise standardmäßige Zugangsdaten für die zugrunde liegende MS-SQL-Datenbank verwendet. Auslöser der Vermutung war eine Analyse des Malware-Spezialisten Frank Boldewin, der Teile der vom Trojaner getätigten Datenbankabfrage veröffentlicht hat. Darin steckten auch die Variablen UID=WinCCConnect und PWD. Nach Angaben des Antivirenherstellers F-Secure sollen WinCC-Anwender angehalten sein, diese Daten nicht zu ändern. Dies würde bedeuten, dass möglicherweise weltweit zahlreiche Systeme dieselben Zugangsdaten zur Datenbank aufweisen. Eine Antwort von Siemens auf eine Anfrage von heise Security steht noch aus.

Microsoft hat die lnk-Lücke bislang noch nicht offiziell bestätigt. Derzeit gibt es weder einen Patch noch einen funktionierenden Workaround. Das US-CERT schlägt immerhin vor, mit dem Abschalten von Autorun die notwendigen Schritte einer Interaktion des Anwenders nach dem Anschließen eines präparierten USB-Sticks zu erhöhen. Nach dem Abschalten fragt Windows dann noch, ob es das Verzeichnis des Sticks öffnen soll. Mittlerweile erkennen aber auch zahlreiche Antivirenprogramme die Trojanerkomponenten als Win32/Stuxnet. (dab)