Duqu misbruikt zero day in Windows kernel

Beveiliger Symantec stelt in een blogpost dat CrySys, het Hongaarse bedrijf dat Duqu vorige maand in het wild spotte, een file heeft gevonden die wordt gebruikt om systemen te infecteren. Het gaat om een kwaadaardig Word document dat ontworpen is om een zero day gat in de Windows kernel te misbruiken.

Geen workaround

"Als de file wordt geopend wordt de kwaadaardige code uitgevoerd en worden de Duqu binaries geïnstalleerd", stelt Symantec. Volgens de beveiligingsfirma is het omgekatte Word document speciaal ontworpen om binnen een specifieke achtdaagse periode in augustus actief te zijn.

Er zijn geen manieren bekend om het gat voorlopig af te dichten en het vermoeden bestaat dat het gevonden installatiescript een van de vele is die gebruikt zijn om de Trojan te verspreiden. Het is ook mogelijk dat er andere manieren zijn gebruikt om de malware te verspreiden.

Waarschijnlijk nog een tijd open

Jerry Byrant, groepmanager van Microsoft's Trustworthy Computing, zegt tegen Webwereld's zustersite Computerworld dat het bedrijf naarstig op zoek is naar een oplossing. "Microsoft werkt samen met onze partners om bescherming te bieden voor een een kwetsbaarheid die wordt gebruikt in gerichte pogingen om computers met Duqu malware te besmetten", aldus Byrant's statement. Een beveiligingsupdate om het gat te dichten wordt via een beveiligingbulletin uitgerold.

Dat betekent waarschijnlijk dat Microsoft het gat niet gaat dichten op de aanstaande Patch Tuesday die voor volgende week staat gepland. Andrew Storms, director security operations van nCircle, stelt tegen Computerworld geen fix te verwachten op 8 november.

Het is waarschijnlijker dat er binnen een paar dagen een beveiligingsadvies komt, maar het zou te kort dag zijn voor Microsoft om voor volgende week het gat te repareren. Storms baseert die aanname op de reacties van Microsoft. Als het bedrijf al eerder van het gat had afgeweten dan waren ze waarschijnlijk snel met een patch of een advies gekomen, aldus Storms.