Stuxnet-Patch von Siemens schützt nur unzureichend

Das SIMATIC Security Update von Siemens zum Schutz von WinCC-Systemen vor Infektionen mit dem Stuxnet-Wurm schließt die eigentliche Lücke in der Konfiguration des SQL-Servers nicht. Vielmehr behindert es nur die Arbeit der bekannten Stuxnet-Varianten. Mit wenigen Schritten lässt sich der Schutz aushebeln, um über das Netz wieder den vollen Zugriff auf ein WinCC-System zu erhalten, wie der IT-Forensikexperte Oliver Sucker in einem Video demonstriert.

Kern des Problems sind die festcodierten Zugangsdaten für die vom WinCC-System benutzte Micrcosoft-SQL-Datenbank. Dies missbraucht der Stuxnet-Wurm, um sich von einem anderen infizierten System in weitere Systeme einzuloggen. Dort nutzt er die integrierte Commandshell xp_cmdshell, um von der Datenbank aus auf das zugrunde liegende Windows-Betriebssystem mit Systemrechten zuzugreifen.

Das SIMATIC-Update verhindert, dass die Datenbank Befehle via xp_cmdshell ausführen kann, indem es die dazugehörige Konfigurationsoption von 1 auf 0 setzt. Leider verfügt laut Sucker der angelegte Datenbanknutzer WinCCAdmin jedoch über zu hohe Rechte, sodass sich nach dem Login die Option mit wenigen trivialen SQL-Befehlen von 0 auf 1 zurücksetzen lässt. Anschließend lassen sich Befehl über die Commandshell wieder ausführen. Welche SQL-Befehle dafür genau erforderlich sind, verrät Sucker vorerst nicht.

Auf Anfrage von heise Security wollte Siemens den Sachverhalt nicht kommentieren. "Es bleibt weiterhin bei der (bisherigen) offiziellen Stellungnahme, dass wir eine Verschärfung der Authentifizierung prüfen", so Siemensprecher Gerhard Stauss in einer Mail. Bis Siemens sich zur Verbesserung der Authentifizierung entschließt, also die Definition eigener Zugangsdaten ermöglicht, können Anwender nur hoffen, dass es keine neue Stuxnet-Variante oder einen Hackerangriff gibt.

Ein weiteres, interessantes Ergebnis förderte Sucker bei seinen Analysen zutage: Man kann ein System gegen Stuxnet impfen. Dazu ist laut Sucker nur das Anlegen eines bestimmten Registry-Schlüssels notwendig. Stuxnet überprüft beim Start, ob dieser Schlüssel vorhanden und ein bestimmer Wert gesetzt ist. Ist dies der Fall, beendet sich der Wurm ohne weitere Aktionen. Sucker stellt WinCC-Anwendern die Informationen auf Anfrage zur Verfügung.

Siemens hat unterdessen die Zahlen zu weltweiten Infektionen von Industrieanlagen aktualisiert . "Insgesamt 19 Siemens-Kunden weltweit aus dem industriellen Umfeld haben in den ersten drei Monaten seit dem ersten Auftreten von Stuxnet von einer Infektion mit dem Trojaner berichtet", schreibt der Hersteller auf seiner Webseite. In keinem der Fälle soll Stuxnet versucht haben, Steuerungssoftware zu beeinflussen. (dab)