Kaspersky Lab untersuchte acht Monate lang Schwachstellen in Windows
Alte Zero-Day-Schwachstelle im Kontext von Stuxnet immer noch gefährlich
CVE-2010-2568: Dies ist die genaue Bezeichnung einer Schwachstelle im Windows-Betriebssystem, die bereits 2010 auftrat - zeitgleich mit dem berüchtigten Stuxnet-Wurm. Offenbar versucht Malware auch heute noch diesen Exploit millionenfach auszunutzen. Im Rahmen der Studie "Windows Usage and Vulnerabilities", die zwischen November 2013 und Juni 2014 stattfand, stellte Kaspersky Lab fest, dass innerhalb dieser acht Monate noch 19 Millionen Anwender mit dem alten Exploit konfrontiert wurden.
Bei CVE-2010-2568 handelt es sich um einen Fehler in Windows beim Laden von Verknüpfungen, der es Angreifern erlaubt, eigenmächtig und ohne Wissen der Anwender eine Dynamic Link Library (DLL) nachzuladen. Möglich ist das unter den Betriebssystemen Windows XP, Vista und Windows 7 sowie Windows Server 2003 und 2008. Der bekannteste und zugleich erste Schädling, der diese Schwachstelle nutzte, war der Stuxnet-Wurm, der im Jahr 2010 entdeckt wurde und etwa Uran-Aufbereitungsanalagen und andere atomare Einrichtungen im Iran angriff.
Microsoft hatte zwar bereits im Herbst 2010 ein Sicherheitsupdate mit einem entsprechenden Patch für diese Schwachstelle veröffentlicht. Dennoch registriert die Sicherheitssoftware von Kaspersky Lab bis heute noch millionenfache Versuche von Malware, diese Schwachstelle auszunutzen.
Der größte Anteil fiel dabei mit 42,45 Prozent auf Nutzer in Vietnam, gefolgt von Indien (11,7 Prozent), Indonesien (9,43 Prozent), Brasilien (5,52 Prozent) und Algerien (3,74 Prozent). Dies hängt laut Kaspersky vor allem damit zusammen, dass gerade in Vietnam, Indien und Algerien noch viele Rechner unter Windows XP arbeiten, also dem Betriebssystem, das mit 64,19 Prozent die meisten dieser Angriffe verzeichnen muss. Auf das derzeit weltweit am häufigsten genutzte Betriebssystem Windows 7 entfallen 27,99 Prozent. Es folgen Windows Server 2008 (3,99 Prozent) und 2003 (1,58 Prozent).
Wegen der sonderbaren Natur der Schwachstelle sei es jedoch nicht möglich, akkurat zwischen tatsächlich abgewehrten Angriffen durch Sicherheitslösungen von Kaspersky und Alarmen, die lediglich durch die Erstellung von verwundbaren Verknüpfungen durch einen bestimmten Wurm ausgelöst wurden, zu unterscheiden.
Dennoch zeigen die hohen Zahlen, dass es weltweit immer noch viele Rechner gibt, die über CVE-2010-2568 angreifbar sind. Die Experten von Kaspersky Lab führen dies auf mangelnde Wartung von Servern zurück, die nicht regelmäßig aktualisiert sind, oder auf denen überhaupt keine Sicherheitslösung installiert ist. So kann sich ein Wurm einnisten, der die Lücke ausnutzt und in einem häufig genutzten Dateiverzeichnis regelmäßig Verknüpfungen erstellt. Immer, wenn dort dann ein Anwender die Verknüpfung nutzt, schlagen die Sicherheitslösungen Alarm.
Kaspersky Lab: Spionage per Smartphone
F-Secure: Industriespionage per Trojaner
BT: Internet-Angriffe leichter identifizieren und visualisieren
Malware kommt über Live-Stream-Seiten
„Alle Unternehmen und Organisationen, die immer noch für diese Schwachstelle anfällige Server nutzen, setzen sich damit dem Risiko einer Infektion mit Schadsoftware aus“ mahnt Vyacheslav Zakorzhevsky, Head of Vulnerability Reserach Team bei Kaspersky Lab. Er rät daher dringend den zuständigen IT-Managern, mehr Aufmerksamkeit auf regelmäßige Software-Updates der Rechner im Unternehmen zu legen und entsprechende Sicherheitslösungen einzusetzen.
Die Experten von Kaspersky Lab empfehlen, jegliche Software immer aktuell zu halten und nicht mehr genutzte Software explizit zu löschen. Außerdem sollte jeder Rechner eine verlässliche Sicherheitslösung mit dediziertem Exploit-Schutz haben. Mit dem hauseigenen automatischen Exploit-Schutz ließen sich dank heuristischer Methoden selbst Angriffe auf noch unbekannte Schwachstellen erkennen und verhindern. Der automatische Exploit-Schutz ist in zahlreichen Produkten von Kaspersky Lab für Heimanwender und Unternehmen integriert.
Der Kaspersky-Report „Windows Usage & Vulnerabilites“ lässt sich unter securelist.com/files/2014/08/Kaspersky_Lab_KSN_report_windows_usage_eng.pdf abrufen.
Lesen Sie mehr zum Thema
