Computervirus Flame: Schnüffel-Virus statt Windows-Update
Der Virus „Flame“ hat sich auch über die Update-Funktion von Windows verbreitet. Die Schadsoftware konnte die Kontrolle über den Rechner übernehmen.
„Windows Update war seit seiner Einführung im Visier aller Security-Tester“, sagt Jürgen Schmidt, Chefredakteur von Heise Security. „Es zu knacken und darüber Systeme zu kompromittieren, ist sozusagen der 'Heilige Gral' der Sicherheitsforscher“ Dass sich da irgendwann eine ausnutzbare Schwachstelle finden würde, sei eigentlich klar gewesen.
Dass dies gelungen ist, ist nun offiziell. Sicherheitsforscher fanden bei der Untersuchung des hochkomplexen Virus mit dem Namen „Flame“ ein entsprechendes Modul. Das Schadprogramm soll schon seit Jahren im Nahen Osten Rechner befallen und die Besitzer aussioniert haben.
Dabei konnte er gezielt Gespräche abhören, Passwörter klauen und überhaupt die Kontrolle über den Rechner übernehmen. Wegen der Komplexität des Programms und der Verbreitung exklusiv im Nahen Osten vermuten viele einen staatlichen Auftraggeber hinter dem Schadprogramm.
Einfallstor Windows-Update
Nun widmen sich Sicherheitsforscher auf der ganzen Welt der Analyse dieses Programms. Und haben Erstaunliches entdeckt. Einer der vielen Verbreitungswege des Virus war nämlich die offizielle Update-Funktion des Betriebssystems Windows. Wenn ein Rechner in einem Büro befallen war, konnte er so unbemerkt die anderen Rechner im gleichen Netzwerk infizieren. Die Microsoft-Server blieben dabei jedoch unangetastet.
Wie das genau funktionierte hat die Sicherheitsfirma Symantec analysiert: Gleich drei verschiedene Module des Virus arbeiteten zusammen, um eine so genannte „Man-in-the-Middle-Attacke“ zu starten. Als erstes bot sich der befallene Rechner seinem Umfeld als so genannter Proxy-Server an, die in Firmennetzwerken nichts ungewöhnliches sind. Sie dienen unter anderem als Zugangsstation zum Internet.
Hatte Flame die Nachbarcomputer davon überzeugt, ihre Internetanbindung an ihn weiterzuleiten, machte das Programm erst Mal nichts und reichte die Daten einfach weiter. Irgendwann aber schleuste der Virus aber ein gefälschtes Windows-Update in den Datenstrom. Die Nutzer der Nachbarrechner hatten keine Chance, diese Manipulation zu erkennen – schließlich funktionierte alles wie vorher.
Eigentlich hätte die Geschichte hier zuende sein müssen, denn Microsoft hat seine Update-Funktion mit einer Verschlüsselung versehen. Nur Updates, die mit einem Geheimschlüssel gesichert sind, werden von dem Betriebssystem akzeptiert. Doch offenbar schafften die Autoren von Flame, sich einen Nachschlüssel zu verschaffen.
Microsoft verwendete Verschlüsselung mit Schwachstellen
Dass Microsoft einen Verschlüsselungs-Algorithmus verwendete, der bereits vor einigen Jahren Schwachstellen offenbarte, begünstigte die Attacke zumindest. Inzwischen hat der Konzern nachgebessert, um solche Attacken in Zukunft unmöglich zu machen.
Offenbar haben auch die Virenautoren einen Schlusstrich gezogen: Wie berichtet, haben sie nach der Entdeckung des Programms eine Selbstzerstörungssequenz aktiviert, um Spuren zu vernichten. Nur in Teilen gelang es, dies zu verhindern.
Akute Gefahr durch Flame besteht für deutsche Nutzer nicht – das Programm wurde ausschließlich in Ländern des Nahen Ostens wie Israel oder dem Iran lokalisiert. Doch die Verwundbarkeit des Windows-Update-Menchanismus zeigt, dass es im nun immer offener ausgetragenen „Cyberwar“, in dem neben Kriminellen nun auch staatliche Behörden mitspielen, kaum Grenzen gibt. Anti-Viren-Programme helfen nur eingeschränkt: Im wesentlichen erkennen sie nur bereits bekannte Viren.
Es gibt viele Update-Module
Zwar hat Microsoft seine Technik nun gesichert – ein Blick in die Kontrolleiste des eigenen Computers offenbart dem Anwender eine ganze Reihe ähnlicher Update-Module, die ständig mit dem Netz kommunizieren, um vermeintlich sicherheitsverbessernde Programmversionen zu installieren.
„Firefox, Google Chrome, Adobe Reader und so weiter sind mittlerweile alle durch Verschlüsselung und Zertifiakte gesichert“, erklärt Jürgen Schmidt. „Es wurden aber in der Vergangenheit immer wieder Fälle bekannt, dass Update-Funktionen nicht oder zumindest unzureichend gesichert waren.“
So waren erst in dieser Woche Probleme mit dem Mozilla-Updater bekannt geworden, der die Aktualisierung des Browsers Firefox übernimmt. Die Lücke wurde inzwischen geschlossen – mit einem erneuten Update.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Bis 1,30 Euro pro Kilowattstunde
Dunkelflaute lässt Strompreis explodieren
Studie Paritätischer Wohlfahrtsverband
Wohnst du noch oder verarmst du schon?
Krise bei Volkswagen
1.000 Befristete müssen gehen
Armut in Deutschland
Wohnen wird zum Luxus
Mord an UnitedHealthcare-CEO
Gewalt erzeugt Gewalt
Kohleausstieg 2030 in Gefahr
Aus für neue Kraftwerkspläne