De gevaarlijkste internetworm van de afgelopen jaren gebruikte in totaal vier onbekende beveiligingslekken in Windows, waarvan er twee nog altijd niet gepatcht zijn. Op 17 juni werd bekend dat een onbekende worm zich via een mogelijk nieuw lek in Windows verspreidde. Niet alleen ging het hier om een zero-day kwetsbaarheid, het betrof ook een geheel nieuwe aanvalsvector voor Windows systemen. Alleen het openen van een map met een snelkoppeling was voldoende om de malware op het systeem uit te voeren. De aanvallers hadden het vooral voorzien op SCADA-systemen.

Maar naar nu blijkt is dit niet de enige kwetsbaarheid die de worm gebruikte. Heeft Stuxnet eenmaal een systeem besmet, dan gebruikt het twee andere lekken om zich te verspreiden. De eerste kwetsbaarheid is MS08-067, hetzelfde lek dat Conficker gebruikte. De exploitcode van Stuxnet is echter iets anders. Het tweede verspreidingsmechanisme is veel interessanter, zegt Alexander Gostev van Kaspersky Lab in deze analyse.

Printer
Stuxnet bevat namelijk ook een zero-day exploit voor een lek in de Print Spooler service. Daardoor kan de worm malware naar andere machine toesturen. "Niet alleen de manier waarop malware op het remote systeem komt is interessant, ook hoe de code dan wordt uitgevoerd", merkt Gostev op. Microsoft patchte gisterenavond het lek in de Print Spooler service.

Naast deze kwetsbaarheid ontdekte Kaspersky Lab ook een ander zero-day lek in de Stuxnet-code. Namelijk een exploit om de rechten op het systeem te verhogen. Ook systemen die zonder administratorrechten draaien, lopen daardoor risico. Ook Microsoft ontdekte een Elevation of Privilege (EoP) kwetsbaarheid. Voor beide lekken zal in de toekomst een patch verschijnen.

Professionals
Volgens Gostev is het gebruik van vier zero-day lekken uniek en ongehoord en zorgt het ervoor dat de worm niet met andere malware te vergelijken is. "Het is de eerste keer dat ik een dreiging tegenkom die zoveel 'verrassingen' bevat", aldus de virusbestrijder. Naast de vijf lekken die de worm gebruikte, waarvan vier zero-days, werden er ook legitieme certificaten van Realtek en JMicron gebruikt voor het signeren van de malware, met als uiteindelijk doel het overnemen van Simatic WinCC SCADA systemen.

"Stuxnet is ongetwijfeld het werk van professionals die de zwaktes van anti-virus technologie kenden, alsmede informatie over onbekende lekken en de architectuur en hardware van WinCC en PSC7 hadden." Eerder lieten andere experts al weten dat in vergelijking met Stuxnet, de Aurora-aanval op Google kinderspel is.