SNAFU: Stuxnet nutzte unter anderem Schwachstelle, die sei 1,5 Jahren bekannt war

Interessante Dinge kommen da ans Tageslicht. Ein Fehler im Drucker-Spooler in Windows ist bereits sein April 2009 bekannt und wurde von Stuxnet ausgenutzt. Microsoft bestätigte, dass man den Fehler bei der Veröffentlichung übersehen habe. Diesen und drei weitere Bugs nutzten die Stuxnet-Schreiber aus. Es wird derzeit spekuliert, ob der Virus von Regierungen geschrieben wurde, um dem iranischen Atomprogramm zu schaden.

Kaspersky und Symantec bestätigten, dass sie den Fehler im Juli und August an Microsoft gemeldet hatten. Man habe die Schwachstelle nicht veröffentlicht, bevor man herausfand, dass Stuxnet diese benutzt.

Bisher hat man angenommen, dass Stuxnet ausschließlich so genannte 0-Day-Lücken benutzte. Nun hat sich aber herausgestellt, dass dies für eine der vier Sicherheitslücken nicht zutrifft – MS10-061. Sicherheitsfirma Vupen Security zeigt mit dem Finger auf Hackin9. Diese haben im April 2009 über die Sicherheitslücke berichtet. Ein Experte mit Namen Carsten Kohler beschrieb, wie man mittels des Druck-Spoolers einen Windows-PC in seine Gewalt bringen kann und veröffentlichte auch eine Art Proof-of-Concept-Code.

Microsoft hat das nun bestätigt. Zum Schutz sagte ein Sprecher, dass man Microsoft nicht direkt auf die Sicherheitslücke oder deren Veröffentlichung aufmerksam machte. Während der Untersuchung von Stuxnet wurde der Fehler von Kaspersky und Symantec unabhängig ein weiteres Mal gefunden.

Ebenso habe man Microsoft auf zwei andere 0-Days aufmerksam gemacht, die Stuxnet ausnutzte. Diese Lücken sollen in der Zukunft geschlossen werden. Ein genaues Datum dafür gibt es aber nicht. Über diese beide Sicherheitslücken gibt es bisher wenig bis gar keine Informationen in der Öffentlichkeit. Eine davon betreffe nur Windows XP, die andere Vista und Windows Server 2008.

Anwender sollten MS10-061 so bald wie möglich einspielen, da Exploit-Code mittlerweile auch im Metasploit-Framework integriert ist.