Duqu maakt gebruik van een zero day gat in de Windows kernel om zich te installeren op computers, zo bleek eerder deze week. Een serieus Windows-lek omdat de aanvaller op afstand programma's kan installeren maar ook data kan bekijken, veranderen of verwijderen. Daarnaast is het mogelijk om nieuwe accounts aan te maken met volledige gebruikersrechten.

Workaround

Microsoft brengt een noodpatch uit. "We zijn op de hoogte van de gerichte aanvallen die deze gerapporteerde kwetsbaarheid proberen te misbruiken", bericht Microsoft in een Security Advisory. Een definitieve patch wordt al dan niet via een Patch Tuesday update uitgebracht. Zekerheid daarover kan Microsoft niet geven.

Wel wordt er een workaround gesuggereerd waarmee de huidige aanval wordt afgestopt maar het gat niet gedicht. Deze tijdelijke oplossing kan automatisch uitgevoerd worden via Microsoft Fix it of door verschillende regels in te voeren via de command prompt.

De tijdelijke oplossing is beschikbaar voor Windows XP, Windows Server 2003, Windows Vista, Windows 7, Windows Server 2008, en Windows Server 2008 R2. Door gebruik te maken van deze workaround kan het wel zijn dat bepaalde lettertypes niet goed worden weergegeven in de browser, waarschuwt Microsoft.

Ook Nederlanders besmet

De Duqu Trojan gebruikt een aangepast Word-document om het gat in de Windows kernel te misbruiken. De Trojan werd in eerste instantie via een command & control (C&C) server in India verspreid. Die server werd offline gehaald waarna de operatie zich verplaatste naar een server in België. Ook die server is inmiddels offline, bericht beveiligingsfirma Symantec.

Ook in Nederland zijn er computers besmet met Duqu-malware, zo blijkt uit gegevens van Symantec. De totale impact is op dit moment nog onduidelijk. Verdere besmettingen zijn waargenomen in Frankrijk, Zwitserland, de Oekraïne, India, Sudan, Iran en Vietnam. Verder bestaat het vermoeden dat er ook infecties zijn in Hongarije, Indonesië en in Groot-Brittannië, maar die zijn nog niet bevestigd.

Symantec heeft een uitgebreide whitepaper (pdf) gepubliceerd over de Duqu-malware.

De besmettingshaarden volgens Symantec, klik voor groot