Sucker kritisiert, dass das Simatic Security-Update zum Schutz von WinCC-Systemen die eigentliche Lücke in der Konfiguration des SQL-Servers nicht schließt, sondern nur die aktuell bekannten Stuxnet-Varianten behindert und neue Ausprägungen weiterhin passieren lassen könnte. Mit wenig Aufwand ließe sich der Schutzmechanismus aushebeln, um wieder vollen Zugriff auf ein WinCC-System zu erhalten. Als Ursache nennt der Security-Experte in einem Demonstrations-Video die festcodierten Zugangsdaten auf die vom WinCC-System benutzte Micrcosoft-SQL-Datenbank. Das Virus nutzt die integrierte Commandshell xp_cmdshell, um von der Datenbank aus auf das Windows-Betriebssystem mit Systemrechten zuzugreifen.

Das Simatic-Update verhindert zwar, dass die Datenbank Befehle via xp_cmdshell ausführen kann, in dem es die dazugehörige Konfigurationsoption von 1 auf 0 setzt. Allerdings hat der von WinCC angelegte Datenbanknutzer WinCCAdmin zu hohe Rechte, sodass ein modifiziertes Virus die Option mit wenigen SQL-Befehlen erneut aktivieren und anschließend wieder Befehle über die Commandshell absetzen kann.

Vollständiger Schutz vor Stuxnet offenbar möglich

„Minimale Codeänderungen reichen aus, damit sich ein modifiziertes Virus wieder verbreiten kann", sagt Sucker, der bei seinen Recherchen eine interessante Schutzmaßnahme entdeckt hat: „ Man kann ein System gegen Stuxnet impfen". Dazu muss lediglich ein bestimmter Registry-Schlüssel angelegt werden. Stuxnet überprüft beim Start, ob dieser Schlüssel vorhanden ist und ein bestimmter Wert gesetzt wurde. Ist dies der Fall, beendet sich der Wurm ohne weitere Aktionen. Sucker stellt diese Informationen WinCC-Nutzern auf Anfrage zur Verfügung.

Seit dem ersten Auftreten von Stuxnet vor rund drei Monaten haben weltweit inzwischen 19 Siemens-Kunden aus dem industriellen Umfeld von einer Infektion mit dem Trojaner berichtet (Stand: 21. Oktober 2010). Zuletzt (Anfang Oktober) meldete Siemens 15 Anlagen.

In allen Fällen hat das Virus Sicherheitslücken in Windows-basierten Betriebsystemen genutzt und konnte entfernt werden, ohne dass es zu einer Beeinflussung der Anlagenprozesse kam. In keinem Fall wurde laut Siemens die Steuerungssoftware beeinflusst oder der Versuch unternommen, diese zu beeinflussen.