Stuxnet is twee maanden geleden opgedoken. De worm gebruikte aanvankelijk een lek in Windows' afhandeling van iconen voor snelkoppelingen. De malware benutte vervolgens gaten in industriële automatiseringssoftware van Siemens die dient om fabrieken te beheren. Uit die beheersystemen werd daarna informatie gestolen. Stuxnet is dus een stuk maatwerk om industriële spionage te plegen.

Multifunctioneel unicum

Nu blijkt dat de worm nog complexer is en meer voorheen onbekende gaten gebruikt om binnen te dringen en zichzelf te verspreiden. Voor het gat in Windows' snelkoppelingen (het zogeheten shortcut-lek) heeft Microsoft begin vorige maand al een noodpatch uitgebracht. Stuxnet gebruikt echter ook een lek in de printer-spooler van Windows en twee andere fouten. Daarlangs dringt de worm verder door op lokale netwerken om daar Windows-pc's te besmetten.

"Het feit dat Stuxnet mikt op vier voorheen onbekende kwetsbaarheden maakt deze worm echt een unicum onder malware", laat security-expert Alex Gostev van Kaspersky weten aan de IDG Nieuwsdienst. "Het is de eerste keer dat we een bedreiging zijn tegengekomen die zoveel 'verrassingen' bevat."

Microsoft waarschuwt dat Windows XP-machines met gedeelde printers het meest kwetsbaar zijn voor misbruik van dit lek. Twee van de door Stuxnet gebruikte zero-day gaten krijgen nu patches van Microsoft, maar er zijn dus nog meer lekken die de worm benut. Die gaten zijn volgens de Windows-producent minder kritiek en worden gedicht met een toekomstige update.

Hulp gekregen

Microsoft bedankt in zijn security bulletin securitybedrijven Symantec en Kaspersky, die hebben geholpen bij het dichten van deze gaten. Senior program manager Maarten van Horenbeeck, van het Microsoft Security Response Center, vertelt aan de Britse ict-nieuwssite The Register dat Stuxnet zo complex is dat de analyse van buitenstaanders zeer waardevol was.

Hij legt uit dat het gedrag van de malware erg verschilde per platform (Windows-versie, plus configuratie en aanwezige componenten en software). "We moesten byte voor byte door de malwarecode gaan." Volgens Van Horenbeeck zou Microsoft uiteindelijk wel tot dezelfde ontdekkingen zijn gekomen als Symantec en Kaspersky, maar hun hulp heeft veel tijd bespaard.

Medialek

In totaal dicht Microsoft in zijn patchronde deze maand 11 beveiligingsgaten, met 9 updates. Van de 9 updates zijn er 4 kritiek en 5 belangrijk, wat respectievelijk de hoogste en één na hoogste classificering van Microsoft is voor de ernst van gaten. De lekken zitten in Windows, Outlook en Office, waaronder ook de nieuwste versies daarvan, maar ook in Microsofts webserver IIS en in de MPEG4 audio/video-codec in Windows.

Laatstgenoemde maakt drive-by besmettingen mogelijk. Gebruikers hoeven daarbij slechts een webpagina met malafide mediabestand of -stream te bezoeken om malware binnen te laten op hun pc's. Overigens is dit lek volgens Microsoft niet uit te buiten op Windows 7. Een ander drive-by lek waarvoor Microsoft nu een patch uitbrengt, zit in Windows' afhandeling van OpenType-lettertypes. Ook dat is niet van toepassing op de nieuwste Windows-versie.

Meer malware komt

De softwareproducent voorspelt dat zeker 5 van de gaten binnenkort het doelwit zullen zijn van malware. Het lek in de printer-spooler wordt al misbruikt. Daarnaast is er al informatie naar buiten gekomen over het IIS-gat waarmee de authenticatie voor Microsofts directorydienst kan worden omzeild. De gaten waarvoor nu patches verschijnen, zitten ook in Windows XP. Voor de oudere versie met Service Pack 2 komen de patches niet uit.