Überrootkit buit Stuxnet-gat in Windows uit
Gepubliceerd: Donderdag 9 december 2010
Auteur: Jasper Bakker
Een nieuwe variant van de geavanceerde rootkit TDL4 gebruikt het nog openstaande Windows-gat van de superworm Stuxnet. Een patch is nog niet in zicht.
Security-onderzoekers van Kaspersky hebben de nieuwe variant van 'überrootkit' TDL4 begin deze maand onderschept. Analyse wijst nu uit dat de vernieuwing zit in het gebruik van het vierde 0-day lek van de complexe Stuxnet-worm. Drie van die gaten zijn al door Microsoft gedicht, maar het vierde staat nog open.
UAC omzeilen
Voor dat lek is twee weken geleden al exploitcode openbaar gemaakt. Daarmee kan een aanvaller via een kwetsbaarheid in de taakplanner van Windows meer rechten krijgen op de doel-pc. Met de toen opgedoken exploitcode zijn Windows-computers geheel over te nemen, meldde securitybedrijf Vupen dat de malware heeft getest. Het gaat hier om systeemrechten (local system), die nog verder gaan dan de beheerdersrechten (admin).
De zeer geavanceerde rootkit TDL4 kan zichzelf binnenloodsen langs Windows's beveiligingsmechanismen. Het kan nu dankzij dit vierde Stuxnet-gat ook meer rechten verkrijgen dan de gebruiker die op het moment van besmetting is ingelogd. De malwareinfectie gebeurt zonder dat UAC (User Account Control) alarm slaat. Die ingebouwde beveiliging in Windows 7 en Vista vraagt normaliter gebruikers om toestemming als er een systeemhandeling gaat plaatsvinden (zoals installatie van een programma).
32- en 64-bit
De toevoeging van exploitcode voor dit gat aan het arsenaal van TDL4 raakt 32-bit installaties van Windows 7. De rootkit is eerder vorige maand nog in het nieuws gekomen doordat het ook de strengere beveiliging in 64-bit Windows kan omzeilen. Het weet langs Windows' Driver Signing te komen.
De toevoeging van het resterende Stuxnet-lek maakt de rootkit nog gevaarlijker. Volgens security-expert Sergey Golovanov van Kaspersky heeft TDL4 (die een afgeleide is van TDSS) hiermee opnieuw zijn status bevestigd als één van de meest complexe en gevaarlijke malwareprogramma's.
Wachten op patch
Het is nog niet bekend wanneer Microsoft met een patch komt voor het nog openstaande Stuxnet-lek, dat nu dus door meer malware wordt benut. Het bedrijf heeft bij zijn patchronde van oktober al verklaard dat dit lek minder kritiek is, en dat er dus minder haast is met het dichten ervan. De aankomende patchronde van Microsoft is aanstaande dinsdag. Normaliter verschijnt er dan de vrijdag ervoor een vooraankondiging, met enige details.
