Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
02/11/2011
0-day en el Kernel de Windows utilitzat per Duqu
Segons afirmen investigadors del Laboratory of Cryptography and System Security (CrySyS) d'Hongria, el misteriós atac del codi maliciós Duqu explota una vulnerabilitat 0-day en el nucli de Windows.
"El nostre laboratori està realitzant l'anàlisi del codi maliciós Duqu i com a resultat de la mateixa hem identificat un arxiu amb exploit 0-day en el nucli de Windows. Immediatament hem proporcionat als organismes competents la informació necessària perquè puguen prendre les mesures adequades per a la protecció dels usuaris", indiquen des de CrySyS.
Una versió d'aquest atac va ser provocat per un arxiu de Microsoft Word que, utilitzant enginyeria social, buscava explotar un 0-day en el nucli de Windows. Microsoft ja ha confirmat que està treballant en la investigació de l'atac.
Un informe recent de Symantec indica que "Una vegada Duqu aconsegueix accés a l'organització a través de l'exploit 0-day, el codi maliciós pot propagar-se a altres computadores. En una organització s'han trobat proves que van mostrar que Duqu pot propagrse a través de SMB, si bé algunes de les computadores infectades no tenien la capacitat de connectar-se a Internet i per tant al centre de Comandament i Control (C&C) dels atacants. Els arxius de configuració Duqu en aquests equips s'han configurat per a no comunicar-se directament amb el C&C, sinó utilitzar altres equips compromesos que tenien connexió a Internet. En conseqüència, Duqu crea un proxy entre els servidors interns de la xarxa i el servidor C&C. Açò va permetre als atacants accedir als equips infectats per Duqu en zones segures".
Mentres que el nombre de casos d'infeccions Duqu és limitat, fins al moment han sigut confirmades en almenys aquests països: França, Holanda, Suïssa, Ucraïna, Índia, Iran, Sudan, Vietnam, Àustria, Hongria, Indonèsia i el Regne Unit.
Totes les mostres analitzades s'havien configurat per a comunicar-se amb un servidor allotjat a l'Índia però Symantec va informar de la recuperació d'una nova mostra de Duqu que es comunica amb un altre servidor de C&C allotjat a Bèlgica.
Per a seguir el cas, Symantec ha publicat una actualització del seu paper W32.Duqu amb important informació proporcionada pel Laboratori CrySyS.