Leverancier Siemens waarschuwt klanten nu hiervoor. De maker van het WinCC-beheersysteem, dat apparatuur in fabrieken en van nutsbedrijven bestuurt, geeft gebruikers het advies het default wachtwoord vooral niet te wijzigen. Dat kan de werking van de software namelijk drastisch verstoren, of het geheel zelfs platleggen. Dit meldt de IDG News Service.

Via malafide shortcut

Dit advies geeft Siemens ondanks het gevaar van dat standaard wachtwoord. Een speciaal gemaakte worm doet nu de ronde die dat default wachtwoord gebruikt om door te dringen en informatie naar buiten te sluizen. Die bedrijfsspionage-malware, Stuxnet gedoopt door beveiligingsbedrijven, komt eerst binnen via een lek in snelkoppelingen op Windows.

Microsoft heeft dat beveiligingslek al erkend en werkt aan een patch. Dat meldt het bedrijf in de aangepaste security advisory over de foute verwerking van shortcuts. Het simpelweg bekijken van malafide .lnk-bestanden levert al automatische uitvoering van kwaadaardige code op. Dat kan via een besmette usb-stick, of een gedeelde netwerkschijf of een via het internet gedeelde WebDAV-schijven. Alle Windows-versies, van XP tot en met 7 en Server 2008 R2, zijn kwetsbaar.

Wachten op patch

In afwachting van een patch van Microsoft hebben beheerders en gebruikers als enige veilige verdedigingsmogelijkheid het uitschakelen van Windows' weergave van shortcuts. Daarmee voorkomen ze besmetting door malware die dit lek gebruikt. Dat gebeurt op dit moment door een worm die speciaal gemaakt is om binnen te dringen in Siemens' industriële beheersoftware.

Beheerders van dat WinCC kunnen die systemen in theorie afschermen door het default wachtwoord te wijzigen, waarmee de gerichte worm wordt afgeweerd. De opstelling van Siemens' beheersoftware en de daarbij horende SCADA-systemen is namelijk deels afhankelijk van de standaard wachtwoorden voor de eigen werking.

In 2008 uitgelekt

"Ik denk dat je met het uitschakelen van het wachtwoord in wezen je hele systeem uitschakelt", zegt cto Eric Byres van beveiligingsbedrijf Byres Security, gespecialiseerd in SCADA. Hij bevestigt dat de default gebruikersnamen en wachtwoorden voor het beheersysteem in 2008 zijn uitgelekt en gepost op diverse websites.

Het systeem van Siemens is volgens hem ontworpen gebaseerd "op de aanname dat niemand ooit die wachtwoorden in handen zou krijgen". Het is een aanname dat niemand ooit echt zijn best zal doen om het tegen je te gebruiken". De makers van de gerichte worm hebben echter ook gedegen kennis van Siemens' producten, zegt hij. "Dit is geen amateur", stelt Byres.

Wachten op ontwormingstool

Terwijl verschillende beveiligingsbedrijven de worm al hebben toegevoegd aan hun definitielijsten, is Siemens bezig met een eigen oplossing. Woordvoerder Michael Krampe van Siemens laat IDG weten dat het een middel maakt om de malware te identificeren en te verwijderen. De Stuxnet-worm kan ook een rootkit binnenhalen om de eigen aanwezigheid te verbergen. Het is niet bekend wanneer de Siemens-oplossing uitkomt.

Update: Eric Byres is per abuis opgevoerd als cto van Siemens, maar is juist een externe security-deskundige. Nu gecorrigeerd.