Stuxnet 2.0: Forscher erwecken alten Security-Alptraum zu neuem Leben

Auf der Blackhat USA 2020 wiesen Forscher unter anderem auf eine Zero-Day-Lücke im Windows Druckerspoolerdienst hin. Ein Patch von Microsoft soll bald folgen.

In Pocket speichern vorlesen Druckansicht 27 Kommentare lesen
Stuxnet 2.0: Forscher erwecken alten Security-Alptraum zu neuem Leben

(Bild: Black Hat USA 2020 (Screenshot))

Update
Lesezeit: 5 Min.
Inhaltsverzeichnis

Der Computerwurm Stuxnet griff ab 2007 erfolgreich Steuerungssysteme von Industrieanlagen (SCADA-Systeme) des Herstellers Siemens an. Um die Anlagensteuerung zu infiltrieren, nahm er den Umweg über angebundene Windows-Systeme und bediente sich dabei einer Exploit-Kette aus Remote Code Execution und anschließender lokaler Privilegienausweitung.

Forscher der Firma SafeBreach Labs gingen nun der Frage nach, ob trotz mittlerweile längst erfolgter Lücken-Fixes ein "Stuxnet 2.0"-Szenario denkbar wäre. Im Rahmen einer Präsentation auf der Black Hat 2020 mit dem Titel "A Decade After Stuxnet's Printer Vulnerability: Printing is Still the Stairway to Heaven" erklärten und zeigten sie, warum sich diese Frage nach ihrer Einschätzung mit einem klaren "Ja" beantworten lässt.

Besondere Aufmerksamkeit widmete das Team dem letzten Glied in der Exploit-Kette – dem Windows-Druckerspooler, den Stuxnet damals zum finalen Sprung auf SCADA-Systeme nutzte. Dabei entdeckten sie zwei neue Zero-Day-Schwachstellen, die sie an Microsoft meldeten. Eine der Schwachstellen (CVE-2020-1337) wird voraussichtlich noch diesen Monat, vermutlich kommende Woche zum Patch Tuesday, geschlossen. Die andere befand Microsoft (im Gegensatz zu den Forschern) nicht für ausreichend relevant, um sie zu schließen.

Das Team von SafeBreach Labs beleuchtete Schritt für Schritt die ursprüngliche Stuxnet-Exploit-Chain.

(Bild: Black Hat USA 2020 (Screenshot))

Anhand Stuxnets fünfteiliger Original-Exploit-Chain erläuterten die Forscher im Vortrag, auf welche Weise Microsoft damals die Lücken schloss. Dabei bemängelten sie vor allem sehr spezielle/eng gesteckte Fixes, sogenannte "Narrow Patches", die mitunter schon durch leichte Abänderungen des ursprünglichen Angriffs ausgehebelt werden können. Alternativ sei es auch problemlos möglich, alte Lücken durch gleichwertige Einfallstore zu ersetzen.

Wie die Forscher erklärten, ist die die ursprüngliche Stuxnet-Strategie und deren offensichtliche Reaktivierbarkeit noch heute hochrelevant und problematisch, da sie nach wie vor immer wieder als Entwurf für ganz unterschiedliche Malware-Kampagnen verwendet werden.

Flickwerk im Vortrag: Hier zeigen die Forscher das Problem des "Narrow Patching" am Beispiel der ersten Station in der Exploit Chain (MS10-046).

(Bild: Black Hat USA 2020 (Screenshot))

Die von Microsoft bestätigte Sicherheitslücke CVE-2020-1337, für die zeitnah ein Patch veröffentlicht werden soll, ist ein "Bypass des Bypassses" zweier früherer Patches – wenig überraschend ein Resultat des "Narrow Patching".

Die Vorgeschichte: Der allererste Patch gegen die ursprünglich von Stuxnet missbrauchte Druckerspooler-Lücke CVE-2010-2729 / MS10-061 hatte sich als umgehbar erwiesen. In der Konsequenz folgte im Mai 2020 ein Fix für den Bypass, dem die CVE-Nummer CVE-2020-1048 zugewiesen wurde.

Der neu entdeckte Bypass für CVE-2020-1048, der die CVE-Nummer CVE-2020-1337 erhielt, reißt die alte Lücke wieder auf und ermöglicht einem Angreifer das Erlangen von Admin-Rechten und die anschließende (Remote-)Codeausführung – natürlich nicht nur auf SCADA-Systemen. Angreifbar sind nach Angaben der Forscher die Windows-Versionen 7 bis 10 (32- and 64-Bit). Weitere Details werden in Kürze Microsofts Sicherheitshinweis zur Lücke zu entnehmen sein.

Das zweite von SafeBreachLabs entdeckte Sicherheitsproblem ist nach Angaben der Forscher schon über 20 Jahre alt und betrifft 32- und 64-Bit-Windows-Releases ab Version 2000. Sie entdeckten es durch sogenanntes Fuzzing, eine Variante automatisierter Tests, innerhalb von etwa 20 Minuten. Der Bug ist lokal ausnutzbar und könnte von einem lokalen Angreifer missbraucht werden, um einen Crash des Druckerspoolers (Denial-of-Service, DoS) zu provozieren. Microsoft stuft die daraus resultierende Gefahr aber nicht als hoch genug ein, um ein Update zu veröffentlichen.

Die Forscher haben ein GitHub-Repository mit ihren "Print Spooler Research Tools" angelegt. Es enthält unter anderem Proof-of-Concept-Code zum Spooler-DoS-Bug sowie einen Minifilter-Treiber, der unbefugte Schreibzugriffe durch Nutzer mit eingeschränkten Rechten verhindern soll.

Die Idee zu letzterem ergab sich aus entsprechenden, teils wieder aus mangelhaften Patches resultierenden Gefahren, auf die die Forscher während der Exploit-Chain-Analyse aufmerksam wurden. Allerdings, so betonen sie, ist auch der Filter vorrangig als PoC gedacht und sollte (vor allem ohne vorherige Tests) nicht in Produktivumgebungen eingesetzt werden. Details sind der zugehörigen REDAME.md zu entnehmen.

Abschließend wiesen die Forscher auf diese unbefugten Zugriffsmöglichkeiten hin.

(Bild: Black Hat USA 2020 (Screenshot))

Ein PoC zu CVE-2020-1337 soll erst folgen, wenn die Lücke geschlossen wurde. Das SafeBreach Labs-Team hat außerdem angekündigt, auch die bei der Black Hat verwendeten Präsentationsfolien zeitnah dem Repository hinzuzufügen.

Update 12.08.20, 10:06: Microsoft hat das Update CVE-2020-1337 nun im Rahmen des Patch Tuesday veröffentlicht.

(ovw)