 |
# taz.de -- Computervirus Flame: Schnüffel-Virus statt Windows-Update |
|
|
|
> Der Virus „Flame“ hat sich auch über die Update-Funktion von Windows |
|
> verbreitet. Die Schadsoftware konnte die Kontrolle über den Rechner |
|
> übernehmen. |
|
|
 |
Bild: Hat sich auch über das Windows-Update verbreitet: Der Virus Flame. |
|
|
|
„Windows Update war seit seiner Einführung im Visier aller |
|
Security-Tester“, sagt Jürgen Schmidt, Chefredakteur von Heise Security. |
|
„Es zu knacken und darüber Systeme zu kompromittieren, ist sozusagen der |
|
'Heilige Gral' der Sicherheitsforscher“ Dass sich da irgendwann eine |
|
ausnutzbare Schwachstelle finden würde, sei eigentlich klar gewesen. |
|
|
|
Dass dies gelungen ist, ist nun offiziell. Sicherheitsforscher fanden bei |
|
der Untersuchung des hochkomplexen Virus mit dem Namen „Flame“ ein |
|
entsprechendes Modul. Das Schadprogramm soll schon seit Jahren im Nahen |
|
Osten Rechner befallen und die Besitzer aussioniert haben. |
|
|
|
Dabei konnte er gezielt Gespräche abhören, Passwörter klauen und überhaupt |
|
die Kontrolle über den Rechner übernehmen. Wegen der Komplexität des |
|
Programms und der Verbreitung exklusiv im Nahen Osten vermuten viele einen |
|
staatlichen Auftraggeber hinter dem Schadprogramm. |
|
|
|
## Einfallstor Windows-Update |
|
|
|
Nun widmen sich Sicherheitsforscher auf der ganzen Welt der Analyse dieses |
|
Programms. Und haben Erstaunliches entdeckt. Einer der vielen |
|
Verbreitungswege des Virus war nämlich die offizielle Update-Funktion des |
|
Betriebssystems Windows. Wenn ein Rechner in einem Büro befallen war, |
|
konnte er so unbemerkt die anderen Rechner im gleichen Netzwerk infizieren. |
|
Die Microsoft-Server blieben dabei jedoch unangetastet. |
|
|
|
Wie das genau funktionierte hat die Sicherheitsfirma Symantec |
|
[1][analysiert]: Gleich drei verschiedene Module des Virus arbeiteten |
|
zusammen, um eine so genannte „Man-in-the-Middle-Attacke“ zu starten. Als |
|
erstes bot sich der befallene Rechner seinem Umfeld als so genannter |
|
Proxy-Server an, die in Firmennetzwerken nichts ungewöhnliches sind. Sie |
|
dienen unter anderem als Zugangsstation zum Internet. |
|
|
|
Hatte Flame die Nachbarcomputer davon überzeugt, ihre Internetanbindung an |
|
ihn weiterzuleiten, machte das Programm erst Mal nichts und reichte die |
|
Daten einfach weiter. Irgendwann aber schleuste der Virus aber ein |
|
gefälschtes Windows-Update in den Datenstrom. Die Nutzer der Nachbarrechner |
|
hatten keine Chance, diese Manipulation zu erkennen – schließlich |
|
funktionierte alles wie vorher. |
|
|
|
Eigentlich hätte die Geschichte hier zuende sein müssen, denn Microsoft hat |
|
seine Update-Funktion mit einer Verschlüsselung versehen. Nur Updates, die |
|
mit einem Geheimschlüssel gesichert sind, werden von dem Betriebssystem |
|
akzeptiert. Doch offenbar schafften die Autoren von Flame, sich einen |
|
Nachschlüssel zu verschaffen. |
|
|
|
## Microsoft verwendete Verschlüsselung mit Schwachstellen |
|
|
|
Dass Microsoft einen Verschlüsselungs-Algorithmus verwendete, der bereits |
|
vor einigen Jahren Schwachstellen offenbarte, begünstigte die Attacke |
|
zumindest. Inzwischen hat der Konzern nachgebessert, um solche Attacken in |
|
Zukunft unmöglich zu machen. |
|
|
|
Offenbar haben auch die Virenautoren einen Schlusstrich gezogen: Wie |
|
[2][berichtet], haben sie nach der Entdeckung des Programms eine |
|
Selbstzerstörungssequenz aktiviert, um Spuren zu vernichten. Nur in Teilen |
|
gelang es, dies zu verhindern. |
|
|
|
Akute Gefahr durch Flame besteht für deutsche Nutzer nicht – das Programm |
|
wurde ausschließlich in Ländern des Nahen Ostens wie Israel oder dem Iran |
|
lokalisiert. Doch die Verwundbarkeit des Windows-Update-Menchanismus zeigt, |
|
dass es im nun immer offener ausgetragenen „Cyberwar“, in dem neben |
|
Kriminellen nun auch staatliche Behörden mitspielen, kaum Grenzen gibt. |
|
Anti-Viren-Programme helfen nur eingeschränkt: Im wesentlichen erkennen sie |
|
nur bereits bekannte Viren. |
|
|
|
## Es gibt viele Update-Module |
|
|
|
Zwar hat Microsoft seine Technik nun gesichert – ein Blick in die |
|
Kontrolleiste des eigenen Computers offenbart dem Anwender eine ganze Reihe |
|
ähnlicher Update-Module, die ständig mit dem Netz kommunizieren, um |
|
vermeintlich sicherheitsverbessernde Programmversionen zu installieren. |
|
|
|
„Firefox, Google Chrome, Adobe Reader und so weiter sind mittlerweile alle |
|
durch Verschlüsselung und Zertifiakte gesichert“, erklärt Jürgen Schmidt. |
|
„Es wurden aber in der Vergangenheit immer wieder Fälle bekannt, dass |
|
Update-Funktionen nicht oder zumindest unzureichend gesichert waren.“ |
|
|
|
So waren erst in dieser Woche Probleme [3][mit dem Mozilla-Updater] bekannt |
|
geworden, der die Aktualisierung des Browsers Firefox übernimmt. Die Lücke |
|
wurde inzwischen geschlossen – mit einem erneuten Update. |
|
|
|
8 Jun 2012 |
|
|
|
## LINKS |
|
|
 |
[1] http://www.symantec.com/connect/blogs/w32flamer-microsoft-windows-update-ma… |
|
[2] http://news.cnet.com/8301-1009_3-57448813-83/flame-authors-force-self-destr… |
|
[3] http://www.heise.de/security/meldung/Rechteausweitung-durch-Mozilla-Updater… |
|
|
|
## AUTOREN |
|
|
|
Torsten Kleinz |
|
|
|
## ARTIKEL ZUM THEMA |
