Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
02/11/2011
0-day en el Kernel de Windows utilizado por Duqu
Según afirman investigadores del Laboratory of Cryptography and System Security (CrySyS) de Hungría, el misterioso ataque del malware Duqu explota una vulnerabilidad 0-day en el Kernel de Windows.
"Nuestro laboratorio está realizando el análisis del malware Duqu y como resultado de la misma hemos identificado un archivo con exploit 0-day en el Kernel de Windows. De inmediato hemos proporcionado a los organismos competentes la información necesaria para que puedan tomar las medidas adecuadas para la protección de los usuarios", indican desde CrySyS.
Una versión de este ataque fue provocado por un archivo de Microsoft Word que, utilizando ingeniería social, buscaba explotar un 0-day en el Kernel de Windows. Microsoft ya ha confirmado que está trabajando en la investigación del ataque.
Un informe reciente de Symantec indica que "Una vez Duqu consigue acceso a la organización a través del exploit 0-day, el malware puede propagarse a otras computadoras. En una organización se han encontrado pruebas que mostraron que Duqu puede propagrse a través de SMB, si bien algunas de las computadoras infectadas no tenían la capacidad de conectarse a Internet y por lo tanto al centro de Comando y Control (C&C) de los atacantes. Los archivos de configuración Duqu en estos equipos se han configurado para no comunicarse directamente con el C&C, sino utilizar otros equipos comprometidos que tenían conexión a Internet. En consecuencia, Duqu crea un proxy entre los servidores internos de la red y el servidor C&C. Esto permitió a los atacantes acceder a los equipos infectados por Duqu en zonas seguras".
Mientras que el número de casos de infecciones Duqu es limitado, hasta el momento han sido confirmadas en al menos estos países: Francia, Holanda, Suiza, Ucrania, India, Irán, Sudán, Vietnam, Austria, Hungría, Indonesia y el Reino Unido.
Todas las muestras analizadas se habían configurado para comunicarse con un servidor alojado en la India pero Symantec informó de la recuperación de una nueva muestra de Duqu que se comunica con otro servidor de C&C alojado en Bélgica.
Para seguir el caso, Symantec ha publicado una actualización de su paper W32.Duqu con importante información proporcionada por el Laboratorio CrySyS.