Von Stuxnet benutzte Lücke war über ein Jahr bekannt

Die am vergangenen Patchday geschlossene und vom Stuxnet-Wurm ausgenutzte Lücke wurde bereits im April 2009 in einem frei erhältlichen Hackermagazin beschrieben.

In Pocket speichern vorlesen Druckansicht 147 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Eine der vom Stuxnet-Wurm benutzten Lücken war offenbar nicht wirklich neu. Vielmehr beschrieb der Sicherheitsspezialist Carsten Köhler bereits in dem Artikel "Print your Shell" der April-Ausgabe 2009 der in Szenekreisen nicht gerade unbekannten polnischen Publikation hakin9 die Lücke im Printer Spooler. Köhler veröffentlichte zudem einen Demo-Exploit für die Schwachstelle.

Microsoft hatte eine Lücke im Printer Spooler am vergangenen Patchday geschlossen und erklärt, dass Stuxnet die Lücke zur Weiterverbreitung in Netzwerken missbrauchte. Microsoft hat unterdessen bestätigt, dass es sich bei der nun geschlossenen und der von Köhler beschriebenen um die gleiche Lücke handelt. Warum die Lücke so lange unbeachtet blieb, ist unbekannt. Auch Kaspersky und Symantec hatten nach Analysen des Stuxnet-Wurms erklärt, dass es sich um eine neue Lücke handelt.

Symantec hat eine sehr detaillierte Analyse veröffentlicht, wie Stuxnet den MC7-Code in bestimmten Modulen in Speicherprogrammierbaren Steuerungen (SPS) manipuliert. Aufgrund der Komplexität des Stuxnet-Wurms gehen viele Sicherheitsspezialisten davon aus, dass er das Werk staatlich kontrollierter Hacker beziehungsweise Geheimdienste ist. Welche das sind und welches Ziel der Wurm hat, wird möglicherweise für immer unbekannt bleiben. Populärste Mutmaßung war, dass es sich um einen Angriff des israelischen Mossad auf das Kernkraftwerk Buschehr im Iran handelte. Bestimmte Zeichenketten in den Dateien des Wurms sollen zumindest auf den Urheber hindeuten – bei der Professionalität der Stuxnet-Entwickler würde es aber nicht überraschen, wenn es sich um eine falsche Fährte handelt. (dab)