Stuxnet-patch Siemens laat gat open

Artikelgereedschap

1x Aanbevolen

Gepubliceerd: Dinsdag 26 oktober 2010
Auteur: Chris Broesder

De Stuxnet-werende patch van Siemens voor zijn industriële beheersoftware, dicht het gat in de configuratie niet. Een onderzoeker toont dit aan en komt zelf met een werkende oplossing.

De SIMATIC Security Update voor het gat waar de Stuxnet-worm gebruik van maakt, repareert het lek in de SQL Server-configuratie niet. Het blokkeert slechts de werking van de nu bekende varianten van Stuxnet. Zo demonstreert forensisch ict-expert Oliver Sucker in een video.

Meer dan admin-rechten

De crux zit in de logindata voor de SQL-database die het industriële beheersysteem SCADA WinCC gebruikt, meldt ict-nieuwssite The H. Die login is ingebakken (hard-coded) in de Siemens-software. De fabrikant heeft daarom eerder dit jaar klanten al geadviseerd, naar aanleiding van Stuxnet, dat default wachtwoord niet te wijzigen; dat zou het hele systeem kunnen platleggen.

Stuxnet gebruikt deze default logindata, die in 2008 al is uitgelekt, om door te dringen op andere systemen als het eenmaal binnen is gekomen op een computer. De worm gebruikt vervolgens de xp_cmdshell om op het onderliggende Windows-systeem in te breken met 'system privilege' level voor de database. Daarmee heeft het zelfs nog meer privileges dan bij admin-rechten.

Simpel uit, en weer aan

De SIMATIC-patch voorkomt dat de database commando's uitvoert via de xp_cmdshell. De update van Siemens schakelt namelijk de betreffende configuratie-optie uit; dus zet die van 1 naar 0. Maar volgens Sucker zijn de privileges van WinCCAdmin database-gebruikers zo doorzichtig dat een aanvaller slechts enkele triviale SQL-commando's hoeft toe te passen om de uitgeschakelde optie weer aan te zetten. Sucker heeft nog niet bekend gemaakt op welke SQL-commando's hij doelt.

Siemens wil tegenover The H niet reageren op de zaak en blijft bij de verklaring dat "men aan het onderzoeken is of de authenticatieprocedures aangescherpt kunnen worden". Het is te hopen dat er geen nieuwe Stuxnet-varianten opduiken die op basis van deze nieuwe kennis zijn voorzien van nieuwe infiltratiemogelijkheden.

Oplossing

De analyse van Sucker heeft nog een andere interessante ontdekking opgeleverd. Het is namelijk vrij eenvoudig om een systeem immuun te maken voor de Stuxnet-worm. Volgens Sucker is daar slechts een registersleutel voor nodig.

Tijdens het opstarten kijkt de Stuxnet-worm namelijk of deze sleutel er is in het Windows-register en of daar een specifieke waarde aan is toegekend. Als dat zo is, schakelt de worm zichzelf uit zonder ook maar iets te doen. Sucker verstrekt deze informatie op aanvraag aan bedrijven die WinCC gebruiken. Ook dit geldt waarschijnlijk alleen voor huidige Stuxnet-varianten.

Relevante whitepapers

Mobiliteit vraagt om nieuwe security-aanpak Downloaden Mobiele technologie vraagt om een andere aanpak van CIO’s. Lees hier hoe!
De zes IT-trends anno 2012 Downloaden Wat iedere CIO moet weten om zijn bedrijf op tijd in de juiste richting te begeleiden!

Alle whitepapers >>

Categorieën:

Totaal 2 reactiesLaatste reacties

Ander nieuws

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Nieuwste ICT banen powered by Jobworld

Whitepapers

Maximaliseer het voordeel van SaaS

Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.
Downloaden
Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
Kostenbesparing voor long tail appsOplossing voor kostenkwesties in VDI. Technologie geschikt voor long tail apps.