Stuxnet 2.0: Forscher erwecken alten Security-Alptraum zu neuem Leben
Auf der Blackhat USA 2020 wiesen Forscher unter anderem auf eine Zero-Day-LĂĽcke im Windows Druckerspoolerdienst hin. Ein Patch von Microsoft soll bald folgen.
Der Computerwurm Stuxnet griff ab 2007 erfolgreich Steuerungssysteme von Industrieanlagen (SCADA-Systeme) des Herstellers Siemens an. Um die Anlagensteuerung zu infiltrieren, nahm er den Umweg ĂĽber angebundene Windows-Systeme und bediente sich dabei einer Exploit-Kette aus Remote Code Execution und anschlieĂźender lokaler Privilegienausweitung.
Besondere Aufmerksamkeit widmete das Team dem letzten Glied in der Exploit-Kette – dem Windows-Druckerspooler, den Stuxnet damals zum finalen Sprung auf SCADA-Systeme nutzte. Dabei entdeckten sie zwei neue Zero-Day-Schwachstellen, die sie an Microsoft meldeten. Eine der Schwachstellen (CVE-2020-1337) wird voraussichtlich noch diesen Monat, vermutlich kommende Woche zum Patch Tuesday, geschlossen. Die andere befand Microsoft (im Gegensatz zu den Forschern) nicht für ausreichend relevant, um sie zu schließen.
Das Team von SafeBreach Labs beleuchtete Schritt fĂĽr Schritt die ursprĂĽngliche Stuxnet-Exploit-Chain.
(Bild:Â Black Hat USA 2020 (Screenshot))
Alte Exploit-Chain weiterhin gefährlich
Anhand Stuxnets fünfteiliger Original-Exploit-Chain erläuterten die Forscher im Vortrag, auf welche Weise Microsoft damals die Lücken schloss. Dabei bemängelten sie vor allem sehr spezielle/eng gesteckte Fixes, sogenannte "Narrow Patches", die mitunter schon durch leichte Abänderungen des ursprünglichen Angriffs ausgehebelt werden können. Alternativ sei es auch problemlos möglich, alte Lücken durch gleichwertige Einfallstore zu ersetzen.
Wie die Forscher erklärten, ist die die ursprüngliche Stuxnet-Strategie und deren offensichtliche Reaktivierbarkeit noch heute hochrelevant und problematisch, da sie nach wie vor immer wieder als Entwurf für ganz unterschiedliche Malware-Kampagnen verwendet werden.
Anzeige
Flickwerk im Vortrag: Hier zeigen die Forscher das Problem des "Narrow Patching" am Beispiel der ersten Station in der Exploit Chain (MS10-046).
(Bild:Â Black Hat USA 2020 (Screenshot))
CVE-2020-1337 – ein "Patch-Bypass-Bypass"
Die von Microsoft bestätigte Sicherheitslücke CVE-2020-1337, für die zeitnah ein Patch veröffentlicht werden soll, ist ein "Bypass des Bypassses" zweier früherer Patches – wenig überraschend ein Resultat des "Narrow Patching".
Die Vorgeschichte: Der allererste Patch gegen die ursprĂĽnglich von Stuxnet missbrauchte Druckerspooler-LĂĽcke CVE-2010-2729 / MS10-061 hatte sich als umgehbar erwiesen. In der Konsequenz folgte im Mai 2020 ein Fix fĂĽr den Bypass, dem die CVE-Nummer CVE-2020-1048 zugewiesen wurde.
Der neu entdeckte Bypass für CVE-2020-1048, der die CVE-Nummer CVE-2020-1337 erhielt, reißt die alte Lücke wieder auf und ermöglicht einem Angreifer das Erlangen von Admin-Rechten und die anschließende (Remote-)Codeausführung – natürlich nicht nur auf SCADA-Systemen. Angreifbar sind nach Angaben der Forscher die Windows-Versionen 7 bis 10 (32- and 64-Bit). Weitere Details werden in Kürze Microsofts Sicherheitshinweis zur Lücke zu entnehmen sein.
Zweiter Bug: Kein Patch geplant
Das zweite von SafeBreachLabs entdeckte Sicherheitsproblem ist nach Angaben der Forscher schon über 20 Jahre alt und betrifft 32- und 64-Bit-Windows-Releases ab Version 2000. Sie entdeckten es durch sogenanntes Fuzzing, eine Variante automatisierter Tests, innerhalb von etwa 20 Minuten. Der Bug ist lokal ausnutzbar und könnte von einem lokalen Angreifer missbraucht werden, um einen Crash des Druckerspoolers (Denial-of-Service, DoS) zu provozieren. Microsoft stuft die daraus resultierende Gefahr aber nicht als hoch genug ein, um ein Update zu veröffentlichen.
PoC-Code und weitere Informationen
Die Forscher haben ein GitHub-Repository mit ihren "Print Spooler Research Tools" angelegt. Es enthält unter anderem Proof-of-Concept-Code zum Spooler-DoS-Bug sowie einen Minifilter-Treiber, der unbefugte Schreibzugriffe durch Nutzer mit eingeschränkten Rechten verhindern soll.
Die Idee zu letzterem ergab sich aus entsprechenden, teils wieder aus mangelhaften Patches resultierenden Gefahren, auf die die Forscher während der Exploit-Chain-Analyse aufmerksam wurden. Allerdings, so betonen sie, ist auch der Filter vorrangig als PoC gedacht und sollte (vor allem ohne vorherige Tests) nicht in Produktivumgebungen eingesetzt werden. Details sind der zugehörigen REDAME.md zu entnehmen.
Abschließend wiesen die Forscher auf diese unbefugten Zugriffsmöglichkeiten hin.
(Bild:Â Black Hat USA 2020 (Screenshot))
Ein PoC zu CVE-2020-1337 soll erst folgen, wenn die Lücke geschlossen wurde. Das SafeBreach Labs-Team hat außerdem angekündigt, auch die bei der Black Hat verwendeten Präsentationsfolien zeitnah dem Repository hinzuzufügen.
5 Monate Wissensvorsprung sichern: heise+ 5 Monate für je 5 € testen. Unbegrenzter Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen. Nur für kurze Zeit!5 Monate Wissensvorsprung sichern: heise+ 5 Monate zum exklusiven Vorteilspreis von je 5 € testen und brandaktuelles IT- und Tech-Wissen sichern. Unbegrenzter Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen. Nur für kurze Zeit!
