Neuer Exploit für Stuxnet-Leck

Martin Schindler,

Im Web ist ein neuer Exploit für ein noch immer ungepatchtes Windows-Sicherheitsleck aufgetaucht, das auch von dem Stuxnet-Schädling ausgenutzt wird.

Der Hacker ‘WebDEVil’ hat den Beispielcode veröffentlicht, der ein Leck in der Windows Aufgabenplanung ausnutzt. Das gleiche Leckt verwendet auch die Stuxnet-Malware. Mit dem Beispielcode kann man sich auf einem ungepatchten Windows-System höhere Rechte verleihen.

Mit der Veröffentlichung wolle WebDEVil laut eigenen Angaben den Druck auf Microsoft erhöhen, einen Patch für das Leck zu veröffentlichen. Bisher hat Microsoft im Zusammenhang mit Stuxnet drei Zero-Day-Lücken beseitigt. Der erste Fix erschien Anfang August als außerplanmäßiges Update und stopfte eine Lücke in der Windows-Shell. Patches für den Druckerwarteschlangendienst und den Windows-Kernelmodustreiber folgten im September und im Oktober. Darüber hinaus missbraucht Stuxnet ein im Jahr 2008 geschlossenes Loch im Server-Dienst.

Der Exploit funktioniert laut dem Hacker unter Windows Vista, 7 und Server 2008. Der nächste planmäßige Patchday findet in rund drei Wochen am 14. Dezember statt.

Das Ziel von Stuxnet: Eine Steuerung für eine Industrieanlage. Quelle: F-Secure
Das Ziel von Stuxnet: Eine Steuerung für eine Industrieanlage. Quelle: F-Secure

Im September hatte Microsoft die Existenz von zwei ungepatchten Stuxnet-Lücken eingeräumt. Eine davon ist die nun öffentlich gemachte Anfälligkeit in der Windows-Aufgabenplanung. Nach Angaben des Softwarekonzerns kann die Lücke nur ausgenutzt werden, wenn ein Angreifer bereits Zugang zu einem System hat.

In der vergangenen Woche hatte ein Symantec-Analyst Stuxnet als einen Weckruf bezeichnet. Es sei die erste bekannte Malware, die eine Reihe von Bedrohungen vereine. Stuxnet spähe industrielle Kontrollsysteme aus, programmiere sie neu und gebe Hackern damit Zugriff auf kritische Infrastrukturen. Die Malware sei eine der kompliziertesten, die Symantec je analysiert habe.

Inzwischen sind auch andere Sicherheitsanbieter aufgewacht. Der finnische Dienstleister F-Secure hat jetzt in einem Blog recht detailreich die Funktionsweise von Stuxnet aufgeschlüsselt. Zudem hat F-Secure eine Kooperation mit Vacom, einem Anbieter für softwarebasierte Frequenzumrichter, die zur Steuerung von Drehstrommotoren und bei der Erzeugung erneuerbarer Energie eingesetzt werden, bekannt gegeben. Künftig will Vacom mehr für die Sicherheit in der industriellen Automation tun.