Microsoft had de eerste melding over de Stuxnet-worm bijna afgedaan als een bekend probleem, toch ging de software tot onderzoek over en ontdekte dat de worm beter in elkaar zat dan veel commerciële software. Dat liet Microsofts Bruce Dang gisteren tijdens het Chaos Computer Club (CC) Congres in Berlijn weten. Dang leidde het onderzoek naar Stuxnet, waarbij de worm in een aantal dagen werd ontmanteld. "We wisten dat veel andere mensen er ook naar keken, en het was belangrijk voor ons om de details te kennen voordat andere bedrijven dit deden."

Al gauw werd vastgesteld dat de worm zich via een geheel nieuwe aanvalsvector op USB-sticks verspreidde. Dit gaf de malware alleen rechten van de ingelogde gebruiker. Vanwege de ernst van het lek en het aantal gerapporteerde infecties, werkte Microsoft hard aan een update. "Een zevenjarige kon dit misbruiken, het was erg", aldus Dang. Uiteindelijk bleek dat het lek al verschillende jaren bekend was. "Maar niemand had mij het verteld."

Geheimen
Microsoft dacht dat de kous hiermee af was, maar Stuxnet had nog niet alle geheimen prijsgegeven. Via verschillende andere zero-day exploits verhoogde de worm zijn rechten op het besmette systeem. De manier waarop Windows XP tussen toetsenborden layouts wisselt veroorzaakte een probleem met de gebruikersrechten, dat de worm misbruikte. Ook installeerde het gesigneerde drivers en gebruikte een aangepaste versie van de exploit waar ook de Conficker-worm zich mee verspreidde.

Volgens Dang is het duidelijk dat meerdere mensen de worm hebben ontwikkeld. De ontwikkelaars zorgden ervoor dat de code zo goed als honderd procent betrouwbaar was. Een doel dat zelfs commerciële ontwikkelaars vaak niet halen. Microsoft wist de worm in zo'n vier dagen te analyseren, maar de impact van Stuxnet zal nog vele jaren merkbaar zijn.