De SIMATIC Security Update voor het gat waar de Stuxnet-worm gebruik van maakt, repareert het lek in de SQL Server-configuratie niet. Het blokkeert slechts de werking van de nu bekende varianten van Stuxnet. Zo demonstreert forensisch ict-expert Oliver Sucker in een video.

Meer dan admin-rechten

De crux zit in de logindata voor de SQL-database die het industriële beheersysteem SCADA WinCC gebruikt, meldt ict-nieuwssite The H. Die login is ingebakken (hard-coded) in de Siemens-software. De fabrikant heeft daarom eerder dit jaar klanten al geadviseerd, naar aanleiding van Stuxnet, dat default wachtwoord niet te wijzigen; dat zou het hele systeem kunnen platleggen.

Stuxnet gebruikt deze default logindata, die in 2008 al is uitgelekt, om door te dringen op andere systemen als het eenmaal binnen is gekomen op een computer. De worm gebruikt vervolgens de xp_cmdshell om op het onderliggende Windows-systeem in te breken met 'system privilege' level voor de database. Daarmee heeft het zelfs nog meer privileges dan bij admin-rechten.

Simpel uit, en weer aan

De SIMATIC-patch voorkomt dat de database commando's uitvoert via de xp_cmdshell. De update van Siemens schakelt namelijk de betreffende configuratie-optie uit; dus zet die van 1 naar 0. Maar volgens Sucker zijn de privileges van WinCCAdmin database-gebruikers zo doorzichtig dat een aanvaller slechts enkele triviale SQL-commando's hoeft toe te passen om de uitgeschakelde optie weer aan te zetten. Sucker heeft nog niet bekend gemaakt op welke SQL-commando's hij doelt.

Siemens wil tegenover The H niet reageren op de zaak en blijft bij de verklaring dat "men aan het onderzoeken is of de authenticatieprocedures aangescherpt kunnen worden". Het is te hopen dat er geen nieuwe Stuxnet-varianten opduiken die op basis van deze nieuwe kennis zijn voorzien van nieuwe infiltratiemogelijkheden.

Oplossing

De analyse van Sucker heeft nog een andere interessante ontdekking opgeleverd. Het is namelijk vrij eenvoudig om een systeem immuun te maken voor de Stuxnet-worm. Volgens Sucker is daar slechts een registersleutel voor nodig.

Tijdens het opstarten kijkt de Stuxnet-worm namelijk of deze sleutel er is in het Windows-register en of daar een specifieke waarde aan is toegekend. Als dat zo is, schakelt de worm zichzelf uit zonder ook maar iets te doen. Sucker verstrekt deze informatie op aanvraag aan bedrijven die WinCC gebruiken. Ook dit geldt waarschijnlijk alleen voor huidige Stuxnet-varianten.