# taz.de -- Computervirus Flame: Schnüffel-Virus statt Windows-Update | |
> Der Virus „Flame“ hat sich auch über die Update-Funktion von Windows | |
> verbreitet. Die Schadsoftware konnte die Kontrolle über den Rechner | |
> übernehmen. | |
Bild: Hat sich auch über das Windows-Update verbreitet: Der Virus Flame. | |
„Windows Update war seit seiner Einführung im Visier aller | |
Security-Tester“, sagt Jürgen Schmidt, Chefredakteur von Heise Security. | |
„Es zu knacken und darüber Systeme zu kompromittieren, ist sozusagen der | |
'Heilige Gral' der Sicherheitsforscher“ Dass sich da irgendwann eine | |
ausnutzbare Schwachstelle finden würde, sei eigentlich klar gewesen. | |
Dass dies gelungen ist, ist nun offiziell. Sicherheitsforscher fanden bei | |
der Untersuchung des hochkomplexen Virus mit dem Namen „Flame“ ein | |
entsprechendes Modul. Das Schadprogramm soll schon seit Jahren im Nahen | |
Osten Rechner befallen und die Besitzer aussioniert haben. | |
Dabei konnte er gezielt Gespräche abhören, Passwörter klauen und überhaupt | |
die Kontrolle über den Rechner übernehmen. Wegen der Komplexität des | |
Programms und der Verbreitung exklusiv im Nahen Osten vermuten viele einen | |
staatlichen Auftraggeber hinter dem Schadprogramm. | |
## Einfallstor Windows-Update | |
Nun widmen sich Sicherheitsforscher auf der ganzen Welt der Analyse dieses | |
Programms. Und haben Erstaunliches entdeckt. Einer der vielen | |
Verbreitungswege des Virus war nämlich die offizielle Update-Funktion des | |
Betriebssystems Windows. Wenn ein Rechner in einem Büro befallen war, | |
konnte er so unbemerkt die anderen Rechner im gleichen Netzwerk infizieren. | |
Die Microsoft-Server blieben dabei jedoch unangetastet. | |
Wie das genau funktionierte hat die Sicherheitsfirma Symantec | |
[1][analysiert]: Gleich drei verschiedene Module des Virus arbeiteten | |
zusammen, um eine so genannte „Man-in-the-Middle-Attacke“ zu starten. Als | |
erstes bot sich der befallene Rechner seinem Umfeld als so genannter | |
Proxy-Server an, die in Firmennetzwerken nichts ungewöhnliches sind. Sie | |
dienen unter anderem als Zugangsstation zum Internet. | |
Hatte Flame die Nachbarcomputer davon überzeugt, ihre Internetanbindung an | |
ihn weiterzuleiten, machte das Programm erst Mal nichts und reichte die | |
Daten einfach weiter. Irgendwann aber schleuste der Virus aber ein | |
gefälschtes Windows-Update in den Datenstrom. Die Nutzer der Nachbarrechner | |
hatten keine Chance, diese Manipulation zu erkennen – schließlich | |
funktionierte alles wie vorher. | |
Eigentlich hätte die Geschichte hier zuende sein müssen, denn Microsoft hat | |
seine Update-Funktion mit einer Verschlüsselung versehen. Nur Updates, die | |
mit einem Geheimschlüssel gesichert sind, werden von dem Betriebssystem | |
akzeptiert. Doch offenbar schafften die Autoren von Flame, sich einen | |
Nachschlüssel zu verschaffen. | |
## Microsoft verwendete Verschlüsselung mit Schwachstellen | |
Dass Microsoft einen Verschlüsselungs-Algorithmus verwendete, der bereits | |
vor einigen Jahren Schwachstellen offenbarte, begünstigte die Attacke | |
zumindest. Inzwischen hat der Konzern nachgebessert, um solche Attacken in | |
Zukunft unmöglich zu machen. | |
Offenbar haben auch die Virenautoren einen Schlusstrich gezogen: Wie | |
[2][berichtet], haben sie nach der Entdeckung des Programms eine | |
Selbstzerstörungssequenz aktiviert, um Spuren zu vernichten. Nur in Teilen | |
gelang es, dies zu verhindern. | |
Akute Gefahr durch Flame besteht für deutsche Nutzer nicht – das Programm | |
wurde ausschließlich in Ländern des Nahen Ostens wie Israel oder dem Iran | |
lokalisiert. Doch die Verwundbarkeit des Windows-Update-Menchanismus zeigt, | |
dass es im nun immer offener ausgetragenen „Cyberwar“, in dem neben | |
Kriminellen nun auch staatliche Behörden mitspielen, kaum Grenzen gibt. | |
Anti-Viren-Programme helfen nur eingeschränkt: Im wesentlichen erkennen sie | |
nur bereits bekannte Viren. | |
## Es gibt viele Update-Module | |
Zwar hat Microsoft seine Technik nun gesichert – ein Blick in die | |
Kontrolleiste des eigenen Computers offenbart dem Anwender eine ganze Reihe | |
ähnlicher Update-Module, die ständig mit dem Netz kommunizieren, um | |
vermeintlich sicherheitsverbessernde Programmversionen zu installieren. | |
„Firefox, Google Chrome, Adobe Reader und so weiter sind mittlerweile alle | |
durch Verschlüsselung und Zertifiakte gesichert“, erklärt Jürgen Schmidt. | |
„Es wurden aber in der Vergangenheit immer wieder Fälle bekannt, dass | |
Update-Funktionen nicht oder zumindest unzureichend gesichert waren.“ | |
So waren erst in dieser Woche Probleme [3][mit dem Mozilla-Updater] bekannt | |
geworden, der die Aktualisierung des Browsers Firefox übernimmt. Die Lücke | |
wurde inzwischen geschlossen – mit einem erneuten Update. | |
8 Jun 2012 | |
## LINKS | |
[1] http://www.symantec.com/connect/blogs/w32flamer-microsoft-windows-update-ma… | |
[2] http://news.cnet.com/8301-1009_3-57448813-83/flame-authors-force-self-destr… | |
[3] http://www.heise.de/security/meldung/Rechteausweitung-durch-Mozilla-Updater… | |
## AUTOREN | |
Torsten Kleinz | |
## ARTIKEL ZUM THEMA |