27C3: Microsoft-Sicherheitsexperte berichtet über Stuxnet-Jagd

Bruce Dang, Malware-Spezialist bei Microsoft, erläuterte auf dem Berliner Hackerkongress, wie die Redmonder innerhalb weniger Tage den vom Stuxnet-Wurm ausgenutzten Lücken in Windows auf die Spur kamen.

In Pocket speichern vorlesen Druckansicht 122 Kommentare lesen
Lesezeit: 3 Min.

Bruce Dang, Malware-Spezialist bei Microsoft, erläuterte auf dem 27. Chaos Communication Congress (27C3) erstmals öffentlich, wie die Redmonder innerhalb weniger Tage den vom Stuxnet-Wurm ausgenutzten Lücken in Windows auf die Spur kamen. "Rund 40 Arbeitsstunden" habe die Jagd nach den Schwachstellen im Team gedauert, berichtete der Softwareingenieur der versammelten Hackergemeinde.

Nach "drei oder vier Tagen" sei die grundlegende Analyse der vier großen Fehler, die der oft als Instrument der Cyberkriegsführung charakterisierte Schädling missbraucht habe, beendet gewesen. Seine Aufgabenstellung war dabei vor allem, herauszufinden, wie sich der rund ein Megabyte an Code umfassende Superwurm im System installierte.

Microsoft hat die im Frühsommer ausfindig gemachten und zum Teil schon im Vorfeld bekannten Lücken erst vor zwei Wochen endgültig gestopft. Der Hinweis auf diesen Fehler sei von den Anti-Viren-Experten bei Kaspersky gekommen, die ein ungewöhnliches Verhalten eines entsprechenden "Printer Spoolers" in einem Testnetzwerk beobachteten. Eine "vorläufige Fehlerbehebung" habe das zuständige Entwicklerteam für die Lücke beim Druckerprogramm in der Verarbeitung von Aufträgen in der Warteschlange "schon fünf Minuten" nach der ersten Analyse fertig gehabt. Die habe dann bereits verhindert, dass ein als Gast angemeldeter Nutzer ohne Authentifizierung eine Datei an einer Stelle im Druckserver erstellen konnte, wo diese dann automatisch mit abgearbeitet wurde. Die Verzögerung des Patches habe sich aus Anforderungen der Qualitätssicherung ergeben, führte Dang aus.

Die zuletzt dicht gemachte Schwachstelle zur Ausweitung der Rechte auf einem System über den Windows-Taskplaner beruhte darauf, dass sich die Eigenschaften einer einmal angelegten Aufgabe nachträglich verändern ließen. Die zugehörige XML-Steuerdatei war lediglich mit einer CRC32-Prüfsumme gegen Manipulationen gesichert. So konnte Stuxnet als normaler Benutzer einen Job anlegen, nachträglich den Eigentümer auf SYSTEM ändern und die Prüfsumme durch zusätzlich angehängte Zeichen korrigieren (Padding). Der fällige Patch hat dann vor zwei Wochen in den betroffenen Betriebssystemen ab Vista die ungeeignete CRC32-Prüfsumme durch den sicheren Hash-Algorithmus SHA256 ersetzt.

Am meisten Kopfzerbrechen bereitete Dang ein Bug in win32k.sys unter Windows XP. Erst als er einen Breakpoint in einer dubiosen Bytefolge platzierte, gelang es ihm, den Fehler beim Laden von Keyboard-Layouts zu lokalisieren. Besonders beeindruckt zeigte sich Dang von der Tatsache, dass es sich um einen Exploit im Kernel-Mode handelt, der absolut zuverlässig funktioniert: "I ran the f*ing exploit like 10 times. And it didn't crash -- at all. I still got owned every single time." staunte der Security-Experte.

Insgesamt ist für den Microsoft-Experten klar, dass die Angreifer über Exploits und Rootkits eine "100-prozentige Zuverlässigkeit" sowie eine breite Wirkung anstrebten. Stuxnet sei für "großflächige Infektionen" geschrieben worden, meinte Dang. Die Schadsoftware habe zudem verschiedene Komponenten aufgewiesen, die von unterschiedlichen Personen geschrieben und dann zusammengesetzt worden seien. (bo)