Stuxnet / Cyber Security
Anzahl Infektionen gestiegen
Siemens hat auf ihrer Support-Seite zum Stuxnet-Virus die Zahl der mit dem Virus infizierten Anlagen aktualisiert. Indes kritisiert der Security-Experte Oliver Sucker den jüngsten Security-Advise von Siemens.
Seit dem ersten Auftreten von Stuxnet vor rund drei Monaten haben weltweit inzwischen 19 Siemens-Kunden aus dem industriellen Umfeld von einer Infektion mit dem Trojaner berichtet (Stand: 21. Oktober 2010). Zuletzt (Anfang September) meldete Siemens 15 Anlagen. In allen Fällen hat das Virus Sicherheitslücken in Windows-basierten Betriebsystemen genutzt und konnte entfernt werden, ohne dass es zu einer Beeinflussung der Anlagenprozesse kam. In keinem Fall wurde laut Siemens die Steuerungssoftware beeinflusst oder der Versuch unternommen, diese zu beeinflussen.
Das Virus nutzt mehrere Sicherheitslücken des Microsoft-Betriebssystems, um die SQL-Datenbanken des Scada-Systems WinCC zu befallen, bei einer bestimmten Konfiguration zu manipulieren und sich in den Steuerungssystemen einzunisten. Findet er diese nicht, bleibt er inaktiv.
Während Siemens die Sicherheitslücken der Windows-Betriebssysteme als Einfallstor für das Virus anführt, bemängelt Oliver Sucker von Forensic Investigations auch das Security-Advise von Siemens. Eine entsprechende Meldung veröffentlichte heise online am Freitag, wonach der Stuxnet-Patch von Siemens nur unzureichend schützt.
Sucker kritisiert, dass das Simatic Security-Update zum Schutz von WinCC-Systemen vor Stuxnet-Infektionen die eigentliche Lücke in der Konfiguration des SQL-Servers nicht schließt, sondern nur Stuxnet-Varianten behindert. Mit wenig Aufwand ließe sich der Schutzmechanismus aushebeln, um wieder vollen Zugriff auf ein WinCC-System zu erhalten. Als Ursache nennt der Security-Experte in einem Demonstrations-Video (Remote-Einbruch in die WinCC-Datenbank nach wie vor kinderleicht) die festcodierten Zugangsdaten auf die vom WinCC-System benutzte Micrcosoft-SQL-Datenbank. Das Virus nutzt die integrierte Commandshell xp_cmdshell, um von der Datenbank aus auf das Windows-Betriebssystem mit Systemrechten zuzugreifen. Das Simatic-Update verhindert, dass die Datenbank Befehle via xp_cmdshell ausführen kann, in dem es die dazugehörige Konfigurationsoption von 1 auf 0 setzt.
Allerdings hat der von WinCC angelegte Datenbank-Nutzer WinCCAdmin jedoch zu hohe Rechte, sodass ein modifiziertes Virus die Option mit wenigen SQL-Befehlen wieder aktivieren und anschließend wieder Befehle über die Commandshell absetzen kann. „Eine einzige Zeile Code reicht aus, damit sich ein modifiziertes Virus wieder verbreiten kann", so Sucker, der bei seinen Recherchen eine interessante Schutzmaßnahme entdeckt hat: „ Man kann ein System gegen Stuxnet impfen". Dazu muss lediglich ein bestimmter Registry-Schlüssel angelegt werden. Stuxnet überprüft beim Start, ob dieser Schlüssel vorhanden ist und ein bestimmter Wert gesetzt wurde. Ist dies der Fall, beendet sich der Wurm ohne weitere Aktionen. Sucker stellt diese Informationen WinCC-Nutzern auf Anfrage zur Verfügung.
