Guy KindermansGuy Kindermans is freelance journalist bij Data News.
Guy Kindermans is freelance journalist bij Data News.13-08-2010, 11:29Bijgewerkt op: 17-08-2022, 07:10
Microsoft heeft het gat in Windows gedicht waar de Stuxnet trojaan misbruik van maakte, maar slechts tot en met XP SP3.
Microsoft heeft het gat in Windows gedicht waar de Stuxnet trojaan misbruik van maakte, maar slechts tot en met XP SP3.
De Stuxnet trojaan deed bij de ontdekking ervan in juli heel wat stof opwaaien, want het was een eerste stuk malware dat zo uitdrukkelijk stuursoftware in industriële omgevingen belaagde. Concreet had de trojaan het gemunt op systemen waarop Siemens WinCC (controlesoft) en PCS 7 (PLC’s) draaiden. De besmetting gebeurde wanneer een USB stick met de trojaan in zo’n systeem werd ingeplugd.
Alle versies van Windows vertoonden dezelfde lacune (de wijze waarop .lnk bestanden worden afgehandeld) en Microsoft heeft ondertussen al een patch uitgebracht. Conform het aangekondigd beleid van productondersteuning, biedt Microsoft die patch algemeen aan tot en met Windows XP SP3. Uit onderzoek blijkt overigens dat het aantal besmettingen erg meeviel en dat blijkbaar geen verstoringen van productiessystemen werden gemeld.
Welicht wel een probleem is dat de patch niet algemeen werd aangeboden voor pre-XP SP3 systemen. Er waren immers versies van WinCC Server beschikbaar onder NT en de client zelfs onder Windows95 (Win95 ‘2de editie’ was de eerste Windows versie met volle ondersteuning van de USB interface).
In de industriële wereld verlopen de vervangingscycli van automatizeringssystemen heel wat trager, en zeker kleinere bedrijven huldigen vaak het principe van ‘als iets werkt, verander je het niet’. Allicht worden dus nog heel wat oudere systemen in productieomgevingen aangewend, die kwetsbaar zullen blijven.
Zelfs een groot bedrijf met een adekwate vervangingspolitiek kan zo uiteindelijk in de problemen komen, als bijvoorbeeld een toeleverancier of een beheerder van ondersteunende diensten alsnog onder Stuxnet zou lijden.
Het Stuxnet gebeuren houdt in ieder geval de discussie levendig rond een betere (of überhaupt een) bescherming van de kritieke nationale infrastructuur (het geheel van nutsvoorzieningen en diensten die de normale werking, ook economisch, van een land mogelijk maakt). Ook wijst het op de strikte nood om de nakende ‘slimme netwerken’ van nutsvoorzieningen (zoals het elektricteitsnet) van meet af aan stevig te beveiligen.
Update 16/08
Siemens verduidelijkt de situatie rond Stuxnet en pre-XP SP3 versies van de getroffen automatiseringssoftware. “Het virus maakt gebruik van een eigenschap van [de software onder] Windows VANAF winXP SP3. Voorgaande OS’en zijn niet geaffecteerd. Het virus gaat enkel op zoek naar SQL-gebaseerde data. WinCC is pas SQL-gebaseerd vanaf Windows XP (niet op WinNT, Win2000, Win95). De nood om voor vorige versies van Windows iets te ondernemen, komt dan ook niet in aanmerking.”
Concreet betekent dit dat de zwakheid wel in de vroegere versies van Windows dan Windows XP SP3 kan zitten – vanaf Win95 volgens Symantec, terwijl Microsoft stelt dat ‘andere versies of edities [van Windows] niet meer worden ondersteund of niet getroffen zijn’ – maar dat versies van WinCC onder pre-Windows XP SP3 versies niet door dit probleem worden getroffen.
