Conficker nicht zu stoppen: Warum er in Unternehmen wütet

Lange hat sich keine Malware mehr auf so vielen Windows-Servern in Unternehmen verbreitet wie der Conficker-Wurm, der von einigen Antiviren-Herstellern auch Downadup genannt wird. Besonders gefährlich sind die Varianten B und C, die ihr Unwesen seit dem 1. Januar 2009 treiben. Der Wurm Conficker.B begann am 30. Dezember 2008 damit, sich zu verbreiten. Die nur geringfügig modifizierte Variante Conficker.C folgte einen Tag später. Viele Hersteller, beispielsweise Microsoft und Symantec, sehen Conficker.C nicht als eigenständige Variante und bezeichnen beide Varianten als Conficker.B.

Eigentlich hätte es gar nicht dazu kommen dürfen, dass sich dieser Wurm verbreitet. Bereits am 23. Oktober 2008 hatte Microsoft das Security-Bulletin MS08-067 veröffentlicht und ein außerordentliches Update angekündigt. Ein Update außerhalb der normalen Patchdays bringt Microsoft nur äußerst selten. Allerdings ist das ein sicheres Zeichen dafür, dass es sich um eine sehr ernste Lücke handelt, die man nicht ignorieren sollte.

Nach etwa einem Monat tauchte der weniger gefährliche Wurm Conficker.A auf, erst später die gefährlichen Varianten B und C. Um sich vor der gefährlichen Variante zu schützen, hätte es ausgereicht, sein System innerhalb von zwei Monaten auf den neuesten Stand zu bringen. Privatleute aktualisieren ihr System relativ häufig. Sie waren von dem Conficker-Wurm kaum betroffen.

Anders sieht es in Unternehmen aus. Ab dem 1. Januar 2009 kam es zu einer zeitweisen Überlastung der europäischen Hotline von Microsoft. Microsofts EMEA-Sicherheitschef Roger Halbheer fühlte sich in seinem Skiurlaub gestört und verfasste den Blogeintrag Russian Roulette with your Network, in dem er sich unter anderem darüber beschwerte, dass Kunden keine Updates einspielten. Inzwischen hat Microsoft sogar eine Belohnung von 250.000 Dollar (etwa 195.000 Euro) für Hinweise auf den Conficker-Autor ausgesetzt.

Auf Systemen, die den Patch MS08-067 nicht installiert haben, kann sich der Wurm über RPC einnisten. Ist er einmal auf einen Rechner gelangt, so stört er den Betrieb mächtig. Zunächst patcht er einige DNS-APIs. Dies tut er, um zu verhindern, dass man sich aktualisierte Antiviren-Signaturen herunterlädt. Wenn ein DNS-Name Strings wie Microsoft, Kaspersky, Symantec, Sophos oder Avira enthält, dann wird diese DNS-Query nicht mehr ausgeführt. Hat man sich Conficker auf einem DNS-Server für das Intranet eingefangen, so können auch Client-Computer keine Verbindung zu www.microsoft.com aufbauen, da der String microsoft enthalten ist.

Noch ärgerlicher ist, dass Conficker versucht, sich unter einer gültigen Benutzerkennung anzumelden, um sich so auf andere Rechner auszubreiten. Dazu probiert er eine ganze Reihe von Passwörtern wie password, abc123, qwerty, Admin und changeme aus. Die Passwörter kombiniert er mit der Benutzerliste der gesamten Domain. Ist Conficker mit einem Admin-Account erfolgreich, bedeutet das, dass er sich in der Regel unmittelbar im gesamten Intranet verbreitet.

Obwohl die Liste der Passwörter lang ist, bleibt die Wahrscheinlichkeit gering, dass die beschriebene Methode zum Erfolg führt. Da Microsofts Active Directory jedoch per Default so konfiguriert ist, dass es jedes Benutzerkonto nach zehn Fehlversuchen bei der Passworteingabe für 30 Minuten sperrt, hat man den Effekt, dass sich Benutzer eines Netzwerkes nicht mehr anmelden können.

Solche Effekte stören den geregelten Betriebs eines Netzwerks. Oft ist die Business Continuity nicht gewährleistet. Nicht nur im zivilen Bereich gibt es Ausfälle. So konnten französische Kampfflugzeuge nicht starten, weil es wegen eines Conficker-Befalls nicht möglich war, die Flugpläne herunterzuladen. Auch bei der Bundeswehr wurden hunderte von Rechnern infiziert.

Die beiden Vorfälle, die die Landesverteidigung betreffen, ereigneten sich nicht etwa kurz nach dem Jahreswechsel, sondern Anfang Februar, als letztendlich jeder, der sich mit Computersicherheit beschäftigt, etwas über den Conficker-Wurm gelesen oder gehört haben musste. Das wirft die Frage auf, wieso so viele Behörden und Unternehmen einen Patch, der im Oktober erschienen ist, nicht längst eingespielt haben – spätestens seitdem bekannt ist, dass ein Schädling umgeht, der die Sicherheitslücke MS08-067 ausnutzt.