Microsoft hat am Montag außer der Reihe ein Security Bulletin samt Patches veröffentlicht, mit denen eine 0-Day-Schwachstelle behoben wird. Diese Schwachstelle, oder genauer ihre Ausnutzung, hat eine kurze, aber bewegende Geschichte hinter sich.

Am Anfang stand ein USB-Schädling

Am 15. Juli gab es erste Berichte über eine mögliche neue 0-Day-Schwachstelle in Windows, die von einem sich über USB-Sticks verbreitenden Trojaner ausgenutzt wurde. Die ersten Schädlinge wurden vom weißrussischen Antiviren-Hersteller VirusBlokAda am 17. Juni entdeckt. Der Trojaner wurde nicht wie sonst üblich über die AutoRun-Funktion installiert, sondern nutzte eine Schwachstelle beim Verarbeiten von Shortcuts (Verknüpfungen, .lnk-Dateien): Bei der Anzeige des dazugehörigen Icons, z.B. im Windows Explorer, startet ohne weiteres Zutun des Anwenders der Schadcode.

Gezielte Angriffe auf SCADA-Systeme

Installiert wurden zwei Treiber mit Rootkit-Eigenschaften, die beide mit einer gültigen digitalen Signatur der Realtek Semiconductor Corp. versehen waren. Im Visier der gezielten Trojaner-Angriffe waren SCADA (Supervisory Control and Data Acquisition) Systeme zur Überwachung und Steuerung technischer Prozesse von Siemens. Der Trojaner wurde z.B. von Sophos als W32/Stuxnet-B bezeichnet und konnte den ersten Berichten zu Folge ein voll gepatchtes Windows-7-System infizieren. Die Verbreitung des Trojaners war laut Kaspersky nur im Iran, Indien und Indonesien hoch, dort wurden jeweils mehr als 5.000 der weltweit insgesamt über 16.000 Infektionen gezählt, während es in Russland nur ca. 150 und in China 5 waren.

Alle Windows-Versionen betroffen

Schon am 16. Juli gab es weitere Informationen: Microsoft veröffentlichte das Security Advisory 2286198 und verwies auf eine Beschreibung der Stuxnet-Familie im Blog des Microsoft Malware Protection Center. Die Schwachstelle ist nicht nur in Windows 7, sondern in allen Windows-Versionen ab XP enthalten. Außerdem kann die Schwachstelle nicht nur über USB-Devices, sondern auch über Netzwerkfreigaben und WebDAV ausgenutzt werden.

Siemens: Feste Zugangsdaten bitte nicht ändern

Die angegriffenen SCADA-Systeme von Siemens nutzten F-Secure zufolge fest vorgegebene Benutzernamen und Passwörter für den Administrator-Account der Datenbank, die laut Siemens nicht geändert werden sollen. Siemens hat ein Security Advisory veröffentlicht, dem zufolge nur sehr wenige Kunden von den Angriffen betroffen sind.

Exploit "in the wild"

Am 18. Juli wurde ein Exploit für die Schwachstelle veröffentlicht, am 19. Juli gab es auch ein Modul für das Metasploit-Framework. Damit steigt die Gefahr, dass aus den gezielten Angriffen Massenangriffe werden.

Das ISC sieht gelb

Am 19. Juli wurde vom Internet Storm Center (ISC) die Gefahrenwarnstufe (Infocon Level) vom Normalwert Grün auf Gelb erhöht. F-Secure veröffentlichte eine Reihe möglicher Gegenmaßnahmen und wies auf Widersprüche zwischen Microsofts Security Advisory und einem Blogeintrag des Microsoft Malware Protection Center hin: Während laut Advisory ein Klick auf das angezeigte Shortcut-Icon nötig ist, um den Schadcode auszuführen, wird er laut Malware Protection Center bereits beim Anzeigen des Shortcuts durch das Betriebssystem ausgeführt. Außerdem ist unklar, ob das Ausschalten von AutoPlay vor einem Angriff über USB-Sticks schützt oder nicht.

Microsoft veröffentlicht "Fix it"-Tool

Am 20. Juli wurde von Microsoft eine Aktualisierung des Security Advisories angekündigt: Ein "Fix It"-Tool zum Durchführen eines Workarounds stand bereit. Außerdem wurde bestätigt, dass der Schadcode schon beim Anzeigen des Shortcuts ausgeführt wird. Das ISC senkte die Warnstufe wieder zurück auf Grün, da das Ziel der Erhöhung, auf die drohenden Angriffe auf die Schwachstelle aufmerksam zu machen, erreicht wurde. Außerdem gibt es weitere Hinweise zu Workarounds, z.B. von Chester Wisniewski von Sophos und Didier Stevens, und von Websense wurde eine Analyse der Schwachstelle veröffentlicht.

Weitere Angriffsvektoren erlauben u.a. Drive-by-Infektionen

Am 21. Juli wiesen Sophos und F-Secure darauf hin, dass die Schwachstelle auch über in Webseiten oder Office-Dateien eingebettete Shortcuts sowie über .pif-Dateien ausgenutzt werden können. Damit besteht nun auch die Gefahr von Drive-by-Infektionen. Auch das Bürger-CERT des BSI warnt nun vor der Schwachstelle.

Weitere Schadsoftware taucht auf

Am 23. Juli war es dann soweit: Weitere Schadsoftware nutzte die Schwachstelle aus. Sophos und Microsoft berichten über einen neuen Keylogger-Trojaner und einen neuen Wurm, ESET außerdem über einen angepassten Autorun-Wurm.

Mit einem Tool gegen die Angriffe

Am 26. Juli veröffentlichte Sophos ein Tool, das 'Sophos Windows Shortcut Exploit Protection Tool', dass einen neuen Icon-Handler installiert, der bösartige .lnk-Dateien erkennt. F-Secure berichtet über an die Schwachstelle angepasste Versionen der Schädlinge Sality und Zeus, McAfee über angepasste Varianten von Downloader-CJX.

Und noch ein Tool...

Am 27. Juli veröffentlichte auch G Data ein Tool zur Verhinderung von Angriffen, den G Data LNK-Checker.

Microsoft kündigt außerplanmäßiges Update an

Am 29. Juli kündigte Microsoft für den 2. August ein außerplanmäßiges Update an, dass die Schwachstelle behebt. Die Entwicklung der Bedrohung durch Angriffe auf bzw. über die Schwachstelle wird vom Microsoft Malware Protection Center beschrieben. Inzwischen nutzen 5 Schädlingsfamilien die Schwachstelle aus.

Hurra, der Patch ist da

Am 2. August wird die Schwachstelle mit den Patches zum als kritisch eingestuften Security Bulletin MS10-046 behoben. Wer den Microsoft-Workaround mit Hilfe des "Fix It"-Tools aktiviert hat, muss ihn selbst rückgängig machen, da das vom Update nicht automatisch gemacht wird.

Windows XP SP2 bitte auf XP3 aktualisieren

Dies ist übrigens das erste Security Bulletin, das Windows XP SP2 nicht mehr unterstützt, der Support dafür endete am Juli-Patchday. Falls Sie also noch Windows XP SP2 einsetzen, ist es jetzt Zeit für die Installation von zwei Updates: Bevor Sie die Schwachstelle beheben können, müssen Sie ihr System mindestens auf XP SP3 aktualisieren.

Carsten Eilers