De SIMATIC Security Update patch voor het gat waar de Stuxnet worm dankbaar gebruik van maakt, repareert het lek in de SQL Server configuratie niet. Wat het slechts doet is de werking van bekende varianten van Stuxnet blokkeren. Zo demonstreert de forensisch IT expert Oliver Sucker in een video.

Meer dan admin-rechten

Het probleem is gebaseerd op de login data van de SQL database in het SCADA WinCC systeem. De Stuxnet worm gebruikt deze data om in te loggen in andere systemen als het eenmaal toegang heeft tot een systeem. Het gebruikt vervolgens de xp_cmdshell om in het onderliggende Windows systeem in te breken met 'system privilege' level voor de database. Daarmee heeft het zelfs nog meer privileges dan bij admin rechten.

Zo simpel als ééntje nulletje

De SIMATIC patch voorkomt dat de database commando's uitvoert via de xp_cmdshell door de betreffende configuratie optie van 1 naar 0 te zetten. Maar volgens Sucker zijn de privileges van WinCCAdmin database-gebruiker zo doorzichtig dat de misbruiker slechts enkele triviale SQL commando's hoeft toe te passen om de setting die de patch verandert terug te zetten op 1. Sucker heeft nog niet bekend gemaakt op welke SQL commando's hij doelt.

Stilzwijgen

Siemens wil niet reageren op de zaak en blijft bij het statement dat "men aan het onderzoeken is of de authenticatie procedures aangescherpt kunnen worden". Het is te hopen dat er tot die tijd in elk geval geen nieuwe Stuxnet varianten losgelaten worden met deze nieuwe kennis in het voorhoofd.

Oplossing

De analyse van Sucker heeft ook een ander interessant resultaat opgeleverd. Het is namelijk vrij eenvoudig mogelijk om een systeem immuun te maken voor de Stuxnet worm. Volgens Sucker heb je daar slechts een register sleutel voor nodig. Tijdens het opstarten kijkt de Stuxnet worm namelijk of deze sleutel er is en of er een specifieke waarde aan toegekend is. Als dat zo is, is de worm visvoer en onderneemt hij niets meer. Sucker verspreidt de informatie op aanvraag aan gebruikers van WinCC.

Bron: Techworld