# taz.de -- Computervirus Flame: Schnüffel-Virus statt Windows-Update
       
       > Der Virus „Flame“ hat sich auch über die Update-Funktion von Windows
       > verbreitet. Die Schadsoftware konnte die Kontrolle über den Rechner
       > übernehmen.
       
 (IMG) Bild: Hat sich auch über das Windows-Update verbreitet: Der Virus Flame.
       
       „Windows Update war seit seiner Einführung im Visier aller
       Security-Tester“, sagt Jürgen Schmidt, Chefredakteur von Heise Security.
       „Es zu knacken und darüber Systeme zu kompromittieren, ist sozusagen der
       'Heilige Gral' der Sicherheitsforscher“ Dass sich da irgendwann eine
       ausnutzbare Schwachstelle finden würde, sei eigentlich klar gewesen.
       
       Dass dies gelungen ist, ist nun offiziell. Sicherheitsforscher fanden bei
       der Untersuchung des hochkomplexen Virus mit dem Namen „Flame“ ein
       entsprechendes Modul. Das Schadprogramm soll schon seit Jahren im Nahen
       Osten Rechner befallen und die Besitzer aussioniert haben.
       
       Dabei konnte er gezielt Gespräche abhören, Passwörter klauen und überhaupt
       die Kontrolle über den Rechner übernehmen. Wegen der Komplexität des
       Programms und der Verbreitung exklusiv im Nahen Osten vermuten viele einen
       staatlichen Auftraggeber hinter dem Schadprogramm.
       
       ## Einfallstor Windows-Update
       
       Nun widmen sich Sicherheitsforscher auf der ganzen Welt der Analyse dieses
       Programms. Und haben Erstaunliches entdeckt. Einer der vielen
       Verbreitungswege des Virus war nämlich die offizielle Update-Funktion des
       Betriebssystems Windows. Wenn ein Rechner in einem Büro befallen war,
       konnte er so unbemerkt die anderen Rechner im gleichen Netzwerk infizieren.
       Die Microsoft-Server blieben dabei jedoch unangetastet.
       
       Wie das genau funktionierte hat die Sicherheitsfirma Symantec
       [1][analysiert]: Gleich drei verschiedene Module des Virus arbeiteten
       zusammen, um eine so genannte „Man-in-the-Middle-Attacke“ zu starten. Als
       erstes bot sich der befallene Rechner seinem Umfeld als so genannter
       Proxy-Server an, die in Firmennetzwerken nichts ungewöhnliches sind. Sie
       dienen unter anderem als Zugangsstation zum Internet.
       
       Hatte Flame die Nachbarcomputer davon überzeugt, ihre Internetanbindung an
       ihn weiterzuleiten, machte das Programm erst Mal nichts und reichte die
       Daten einfach weiter. Irgendwann aber schleuste der Virus aber ein
       gefälschtes Windows-Update in den Datenstrom. Die Nutzer der Nachbarrechner
       hatten keine Chance, diese Manipulation zu erkennen – schließlich
       funktionierte alles wie vorher.
       
       Eigentlich hätte die Geschichte hier zuende sein müssen, denn Microsoft hat
       seine Update-Funktion mit einer Verschlüsselung versehen. Nur Updates, die
       mit einem Geheimschlüssel gesichert sind, werden von dem Betriebssystem
       akzeptiert. Doch offenbar schafften die Autoren von Flame, sich einen
       Nachschlüssel zu verschaffen.
       
       ## Microsoft verwendete Verschlüsselung mit Schwachstellen
       
       Dass Microsoft einen Verschlüsselungs-Algorithmus verwendete, der bereits
       vor einigen Jahren Schwachstellen offenbarte, begünstigte die Attacke
       zumindest. Inzwischen hat der Konzern nachgebessert, um solche Attacken in
       Zukunft unmöglich zu machen.
       
       Offenbar haben auch die Virenautoren einen Schlusstrich gezogen: Wie
       [2][berichtet], haben sie nach der Entdeckung des Programms eine
       Selbstzerstörungssequenz aktiviert, um Spuren zu vernichten. Nur in Teilen
       gelang es, dies zu verhindern.
       
       Akute Gefahr durch Flame besteht für deutsche Nutzer nicht – das Programm
       wurde ausschließlich in Ländern des Nahen Ostens wie Israel oder dem Iran
       lokalisiert. Doch die Verwundbarkeit des Windows-Update-Menchanismus zeigt,
       dass es im nun immer offener ausgetragenen „Cyberwar“, in dem neben
       Kriminellen nun auch staatliche Behörden mitspielen, kaum Grenzen gibt.
       Anti-Viren-Programme helfen nur eingeschränkt: Im wesentlichen erkennen sie
       nur bereits bekannte Viren.
       
       ## Es gibt viele Update-Module
       
       Zwar hat Microsoft seine Technik nun gesichert – ein Blick in die
       Kontrolleiste des eigenen Computers offenbart dem Anwender eine ganze Reihe
       ähnlicher Update-Module, die ständig mit dem Netz kommunizieren, um
       vermeintlich sicherheitsverbessernde Programmversionen zu installieren.
       
       „Firefox, Google Chrome, Adobe Reader und so weiter sind mittlerweile alle
       durch Verschlüsselung und Zertifiakte gesichert“, erklärt Jürgen Schmidt.
       „Es wurden aber in der Vergangenheit immer wieder Fälle bekannt, dass
       Update-Funktionen nicht oder zumindest unzureichend gesichert waren.“
       
       So waren erst in dieser Woche Probleme [3][mit dem Mozilla-Updater] bekannt
       geworden, der die Aktualisierung des Browsers Firefox übernimmt. Die Lücke
       wurde inzwischen geschlossen – mit einem erneuten Update.
       
       8 Jun 2012
       
       ## LINKS
       
 (DIR) [1] http://www.symantec.com/connect/blogs/w32flamer-microsoft-windows-update-man-middle
 (DIR) [2] http://news.cnet.com/8301-1009_3-57448813-83/flame-authors-force-self-destruct/
 (DIR) [3] http://www.heise.de/security/meldung/Rechteausweitung-durch-Mozilla-Updater-1611728.html
       
       ## AUTOREN
       
 (DIR) Torsten Kleinz
       
       ## ARTIKEL ZUM THEMA