Neue Gefahr aus dem Internet: Stuxnet greift über neue USB-Sicherheitslücke an

Der Erfindungsreichtum Krimineller ist groß: Aktuell hat Symantec eine neue Bedrohung namens Stuxnet entdeckt, die seit Kurzem Cyber-Angreifern den Zugang zu den Daten international operierender Unternehmen ermöglicht. Die neue Technik basiert auf dem Ausnutzen einer bisher unbekannten Zero-Day-Schwachstelle in der Windows Shell und erinnert teilweise an den Hydraq-Angriff Anfang 2010. Das Herzstück von W32.Stuxnet ist eine manipulierte .lnk Datei (Windows-Verknüpfung) gekoppelt mit einer Rootkit-Komponente, hinter der sich zwei Dateitypen verbergen: Erstens Dateien, die auf ''.lnk'' enden, und zweitens Dateien, die mit ''~WTR'' beginnen und mit ''.tmp'' enden. Darüber hinaus enthält der Schädling verschiedene weitere Funktionen und versucht unter anderem, Zugang zu den so genanten SCADA en.wikipedia.org/... (Supervisory Control and Data Acquisition)-Systemen zu erlangen. Diese Systeme werden zwar aus Sicherheitsgründen meistens nicht mit dem Internet verbunden. Dennoch kann sich der neue Virus durchaus Zugriff auf SCADA verschaffen, indem er USB-Speichermedien als Vehikel nutzt.

Das "Einfallstor" USB-Laufwerk mittels autorun.inf ist nicht neu. Neu ist indes, dass eben autorun.inf nicht mehr benötigt wird. Sobald der ahnungslose Nutzer das Laufwerk öffnet, wird auf das Dateisystem zugegriffen, um die auf dem Medium befindlichen Inhalte anzuzeigen, und die manipulierte .Ink-Datei wird aktiv. Ist das System erst einmal infiziert, kann der Nutzer nicht mehr nachvollziehen, ob und welche Dateien auf das USB-Laufwerk kopiert werden - diese werden vom Rootkit verborgen. Der Angreifer selbst tarnt sich im iexplore.exe (Internet Explorer), der von Firewalls nicht beargwöhnt wird. So kann er sich weitgehend frei bewegen und sogar seinerseits Sicherheitsvorkehrungen attackieren und beeinträchtigen.