James Steidl - Fotolia

Die Stuxnet-Lücke in Windows wird immer noch missbraucht

Die Schwachstelle in der Windows Shell, mit der sich vor einigen Jahren Stuxnet ausbreiten konnte, ist in vielen Unternehmen immer noch offen. Dabei gibt es seit 2010 einen Patch.

Der Ursprung von Daten und wie sie ausgewertet, beziehungsweise analysiert werden, hat einen großen Einfluss auf das Ergebnis. Viele Studien, die von Herstellern veröffentlicht werden, entsprechen nicht den an Universitäten üblichen akademischen Standards. Unternehmen benötigen jedoch die besten Daten, die zu einem bestimmten Zeitpunkt verfügbar sind, um fundierte Entscheidungen treffen zu können.

Das bedeutet, dass auf bestimmten Daten aufbauende Entscheidungen stark abhängig von den jeweiligen Szenarien sind und vorher gründlich geprüft werden sollten, um festzustellen, ob sie wirklich zur aktuellen Situation und Umgebung passen. So ist die von Stuxnet schon vor einigen Jahren in der Windows Shell ausgenutzte Schwachstelle ein gutes Beispiel für Daten, die sorgfältig ausgewertet werden sollten.

Die Lücke wird seit Jahren immer wieder in vielen Exploit-Kits und von zahlreichen Angreifern genutzt. Dabei gibt es bereits seit 2010 einen Patch von Microsoft, der sie schließt.

Schwachstelle in der Windows Shell

Schwachstellen und Exploits können von praktisch jedem Angreifer genutzt werden. Selbst brandneue Zero-Day-Lücken sind nicht nur auf einen Hacker beschränkt. Sobald ein Exploit erst einmal Teil eines Exploit-Kits geworden ist, wird er von den Angreifern auch genutzt. Das gilt, solange er noch effektiv ist. Viele Angreifer werden allerdings keinen wertvollen Zero-Day riskieren, außer sie sehen darin die einzige Möglichkeit, um ein bestimmtes Ziel zu erreichen. Das führt dazu, dass immer noch funktionierende Exploits solange eingesetzt werden, wie Unternehmen Schwierigkeiten damit haben, die dagegen benötigten Patches auch wirklich einzuspielen.

So hat etwa Kaspersky Lab die in 2015 und 2016 genutzten Exploits untersucht und dabei festgestellt, dass die Windows-Shell-Lücke (CVE-2010-2568) weiterhin für Angriffe eingesetzt wird. Kaspersky kam sogar zu dem erstaunlichen Ergebnis, dass diese Lücke auf Platz eins der am häufigsten gegen Anwender eingesetzten Angriffe im zweijährigen Untersuchungszeitraum landete.

Die von Stuxnet schon im Jahr 2010 ausgenutzte Lücke ist eine Schwachstelle in der Windows Shell, die es einem Angreifer erlaubt, aus der Ferne eigenen Code auszuführen. Sie existiert in jeder Version des Windows Explorers seit Windows XP. LNK-Dateien können auf andere Dateien verweisen und dabei Kommandozeilen-ähnliche Befehle ausführen, wenn die Datei gestartet wird. Eine LNK-Datei wird von Windows wie eine ausführbare Datei behandelt. In manchen Szenarien wird sie sogar automatisch ausgeführt, wenn der Anwender mit dem Windows Explorer einen lokalen oder per Netzwerk eingebundenen Ordner öffnet.

Dieses Verhalten war auch von Microsoft so vorgesehen und kein Fehler. Erst später hat der Hersteller im Rahmen seiner intensivierten Security-Strategie riskante Funktionen wie diese nach und nach entschärft. Weil der Exploit eine vorgesehene Verhaltensweise von Windows ausnutzte, war es für Unternehmen und Anbieter von Antiviren-Programmen so schwer dagegen vorzugehen, ohne die Funktion komplett zu deaktivieren. Dieser Verlust an Funktionalität ist möglicherweise auch ein Grund dafür, dass bis heute manche Unternehmen den von Microsoft bereitgestellten Patch nicht eingespielt haben.

Geeignete Gegenmaßnahmen

Wie Kaspersky berichtet, ist die Schwachstelle in der Windows Shell nicht die einzige ältere Lücke, die auch heute noch gegen Firmen eingesetzt wird. Es gibt aber einige Standardmaßnahmen, die gegen Bedrohungen wie diese helfen. Es sind dieselben Vorgehensweisen, die auch gegen Stuxnet wirken: Unternehmen sollten ihre Systeme automatisch auf Schwachstellen und nicht eingespielte Patches prüfen, um zu verhindern, dass sie von Angreifern ausgenutzt werden können. Außerdem sollten sie regelmäßig Risiko- und Security-Assessments sowie Security Awareness Trainings durchführen, bei denen die Mitarbeiter über aktuelle Phishing- und Malware-Tricks informiert werden. Bei diesen Maßnahmen handelt es sich um die wesentlichen Grundlagen, die jedes Unternehmen bereits jetzt einsetzen sollte. Erweiterte Sicherheitsmaßnahmen setzen auf ihnen auf. Darüber hinaus sollten die vorhandenen Kontrollen und Werkzeuge regelmäßig auf ihre Effektivität überprüft und gegebenenfalls ersetzt werden.

Fazit

Moderne IT-Security-Strategien sind in der Lage, dynamisch mit gefundenen Problemen umzugehen, so dass nicht gleich das gesamte Programm ersetzt werden muss. Im Notfall sind jedoch eventuell auch drastische Maßnahmen nötig, um eine kritische Schwachstelle zu schließen oder um auf einen besonders gefährlichen Vorfall schnell und adäquat reagieren zu können. Durchdachte Sicherheitsmaßnahmen sind flexibel genug, um geeignete Reaktionen zu unterstützen und um die Gefahren zu minimieren. Dadurch wird es auch möglich, zeitnah Patches einzuspielen und Schwachstellen zu schließen. Das gilt dann sogar bei bis heute noch gefährlichen Lücken, wie der von Stuxnet ausgenutzten Schwachstelle in der Windows Shell.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Sicherheitsrisiko Windows SMB v1 deaktivieren

Microsoft EMET: Systeme gegen Attacken schützen

Tipps für die richtige Patch-Strategie

Artikel wurde zuletzt im Oktober 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Betriebssystemsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close