Duqu korzysta z luki zero-day w Windows

Od kilkunastu dni uwagę specjalistów ds. bezpieczeństwa przykuwa Duqu, czyli nowy koń trojański, wykazujący niezwykłe podobieństwo do osławionego wirusa Stuxnet. Już pierwsze analizy nowego zagrożenia wykazywały, że jest on nieprzeciętnie pomysłowy i niebezpieczny - teraz dodatkowo okazało się, że Duqu wykorzystuje do atakowania Windows nieznaną wcześniej i wciąż niezałataną lukę w jądrze systemu.

Polecamy:

• TDL4 będzie jeszcze groźniejszy
• Amerykańskie drony z wirusem
• Z Windows XP prosto do Windows 8? Gartner odradza

To klasyczny przypadek luki zero-day, tzn. błędu, który zaczął być wykorzystywany przez przestępców do atakowania użytkowników zanim producent (w tym przypadku Microsoft) miał szansę go załatać. Wykrycie go było możliwe dzięki temu, że specjaliści z węgierskiej firmy CrySys zdobyli plik instalacyjny trojana Duqu - po jego przeanalizowaniu okazało się, że "szkodnik" wykorzystuje do infekowania Windows nieznany wcześniej błąd w kernelu. Dodajmy, że to właśnie specjaliści z CrySys jako pierwsi wykryli w Sieci aktywność Duqu.

Ów plik instalacyjny ma postać dokumentu Microsoft Word - osadzono w nim złośliwy kod, który uaktywnia się przy próbie otwarcia pliku i wykorzystując lukę w Windows instaluje się w systemie.

Z analiz przeprowadzonych przez firmę Symantec wynika, że ów plik został spreparowany tak, by wydawał się bezpieczny i interesujący dla pracowników firm z kilku konkretnych sektorów rynku. Co więcej - instalator trojana skonfigurowano tak, by Duqu infekował system tylko przez kilka konkretnych dni (8 kolejnych dni w sierpniu tego roku).

Przedstawiciele Microsoftu potwierdzili już informację o nowym błędzie - firma właśnie analizuje lukę i szuka metod rozwiązania problemu. Wydaje się jednak mało prawdopodobne, by stosowna poprawka pojawiła się wraz z najnowszym pakietem aktualizacji dla produktów koncernu (zaplanowanym na 8 listopada) - zdaniem specjalistów, tydzień to zbyt krótki czas by Microsoft zdołał przygotować i kompleksowo przetestować łatkę. W tej sytuacji niewykluczone wydaje się, że koncern udostępni aktualizację nieco później, poza swoim standardowym cyklem łatania produktów.

Microsoft na razie nie podał żadnej konkretnej daty - przedstawiciele koncernu ograniczyli się do stwierdzenia, że poprawka pojawi się tak szybko, jak będzie to możliwe.