Gyorsjavítás érkezett a Windowsokhoz

Gőzerővel folyik annak a vírusnak az elemzése, melynek felfedezésében oroszlánrésze volt a BME-n működő magyar CrySyS Labor csapatának, és amelyről a Symantec jelentése alapján korábban az IT café is beszámolt. Nemrég derült ki, hogy a DuQunak elnevezett vírus egy nulladik napi windowsos sebezhetőséget használ ki, és erre reagálva a Microsoft tegnap kiadott egy soron kívüli ideiglenes javítást.

Hirdetés

A Symantec tegnap közzétett legújabb jelentése összefoglalja az eddigi eredményeket. A hírhedtté vált Stuxnetéhez igen hasonló kártékony kód a cég szerint az előbbihez mérve közel azonos fenyegetést jelent, de teljesen más céllal jött létre. A DuQu célja, hogy intelligens adatokat és eszközöket gyűjtsön olyan szervezetektől, mint például az ipari létesítmények, annak érdekében, hogy megkönnyítse egy jövőbeli támadás levezetését egy harmadik fél ellen. A támadók például a tervezési dokumentumokat keresnek, amelyek segítik őket egy támadás megtervezésében különböző iparágakban, beleértve az ipari ellenőrző létesítményeket is. Az eredeti DuQu binárisokat a CrySys munkatársai fedezték fel, és azóta meghatározták a továbbterjedési kódját is. Azt egyelőre még nem sikerült feltárni, hogy hogyan fertőzték meg a rendszereket. A telepítő fájl egy Microsoft Word dokumentum, ami egy korábban ismeretlen kernelsebezhetőséget használ ki, amely lehetővé teszi a kódfuttatást.

Duqu

A Symantec a következő új fejleményekről számol be, melyekre a felfedezés óta jöttek rá:

  • egy javítatlan nulladik napi biztonsági rést kihasználva egy Microsoft Word dokumentumon keresztül telepítik a DuQu-t
  • a támadók el tudják rejteni a DuQu-t a számítógépes rendszerek biztonsági zónáiban, és irányítani tudják ezeket egyenrangú hálózatként (peer-to-peer) működő irányító (command-and-control) protokollon keresztül
  • eddig hat szervezet számolt be fertőzésekről nyolc országban (Franciaország, Hollandia, Svájc, Ukrajna, India, Irán, Szudán és Vietnam)
  • egy új command-and-control irányító szervert fedeztek fel Belgiumban (77.241.93.160), amelyet le is állítottak

A Microsoft tegnapi tájékoztatója ismerteti, hogy a mindeddig feltáratlan hiba a win32k.sys beágyazottbetűkészlet-feldolgozó alrendszerében található, és ez lehetővé teszi, hogy közvetlenül rendszer szintű kódfuttatást történjék a Wordből. A hiba az összes Windows-verziót érinti.

A gyorsjavítás telepítője letölthető a Microsoft terméktámogatási oldaláról. A végleges javítás kiadásának időpontja még ismeretlen, de annyi bizonyos, hogy leghamarabb a jövő héten, a szokásos havi frissítéskor érkezhet.

Előzmények