Windows-LNK-Lücke: Lage spitzt sich zu
Die bislang ungepatchte Sicherheitslücke sorgt in vielerlei Hinsicht für Aufruhr. Das Internet Storm Center erwartet eine umfangreiche Angriffswelle und hat die Warnstufe von Grün auf Gelb erhöht. Ein Schädling, der sich über die Lücke verbreitet, hat es auf das SCADA-Prozessleitsystem WinCC abgesehen, das in Kraftwerken zum Einsatz kommt.
- Ronald Eikenberg
Während Microsoft noch an einem Patch arbeitet, spitzt sich die Lage weiter zu: Aufgrund der kritischen LNK-Sicherheitslücke in den meisten Windows-Versionen hat das Internet Storm Center (ISC) nun die Gefahrenwarnstufe von Grün auf Gelb erhöht. Hiermit will das ISC der zu erwartenden Angriffswelle zuvorkommen und Anwender auf die drohende Gefahr aufmerksam machen. Weil das Security-Framework Metasploit nun ein entsprechendes Angriffsmodul enthält, das die Schwachstelle über WebDAV ausnutzt, kann sich im Prinzip jeder seinen eigenen Exploit bauen.
Derzeit kann man sich nur durch eine Registry-Modifikation schützen, welche Windows an der Darstellung von Verknüpfungs-Icons hindert. Die Navigation durch Startmenü, Desktop und Taskleiste wird dadurch allerdings zum Blindflug. Darüber hinaus soll man den WebClient-Dienst beenden, wodurch man nicht länger auf WebDAV-Freigaben zugreifen kann.
(Bild: heise Security)
Der prominenteste Schädling, der sich über die LNK-Lücke Zugriff zum System verschafft, ist derzeit noch Win32/Stuxnet. Dieser scheint in erster Linie der professionellen Industriespionage zu dienen; konkret hat er es auf das SCADA-Prozessleitsystem WinCC von Siemens abgesehen, das etwa in Kraftwerken zum Einsatz kommt. Im Schadcode sind sogar fest eingestellte Zugangsdaten enthalten, mit denen sich der Trojaner Zugriff auf die Microsoft-SQL-Datenbank des WinCC-Systems verschafft. Siemens bestätigte gegenüber heise Security, dass "systeminterne Authentifizierung von WinCC zur Microsoft SQL-Datenbank [..] mit fest vorgegebenen Zugangsdaten" erfolgt. Ändern darf man diesen jedoch nicht, da sonst die Kommunikation zwischen WinCC und der Datenbank fehlschlage. Nach eigenen Aussagen prüfe man gerade eine "Verschärfung der Authentifizierung".
Wer bislang davon ausging, signierte Dateien seien weitgehend vertrauenswürdig, sollte zukünftig zwei Mal hinschauen. Denn der Profi-Spion Stuxnet ist mit einem Realtek-Zertifikat signiert. Verisign hat mittlerweile gegenüber heise Security bestätigt, dass das Zertifikat tatsächlich Realtek gehört. Allerdings hat es Verisign widerrufen, sodass eine Überprüfung der Signatur eine Warnung erzeugen sollte. Der Antiviren-Hersteller Eset hat jedoch schon einen Nachfolger gesichtet: Ein artverwandter Trojaner jüngeren Datums ist mit enem noch gültigen Zertifikat des Chipherstellers JMicron Technology signiert.
(Bild: heise Security)
Wie genau sich die Kriminellen Zugriff auf die geheimen Zertifikatsschlüssel verschafft haben, ist der derzeit noch unklar. Möglicherweise wurden ausgelagerte Softwarehersteller bestochen oder signierten den Schadcode unwissentlich. Costin Raiu von Kaspersky spekuliert, dass die Unternehmen Opfer eines Trojaners wie Zeus geworden sein könnten, der auch digitale Zertifikate klaut. Vielleicht haben sich die Virenbauer aber auch physischen Zugriff zu den Systemen der beiden Unternehmen verschafft. Immerhin unterhält JMicron ein Büro im Hsinchu Science Park in Taiwan, in dem auch Realtek Büroräume angemietet hat. (rei)
