Duqu sfrutta un bug del kernel di Windows

Un gruppo di ricercatori ungheresi ha scoperto che il malware Duqu sfrutta una vulnerabilità zero-day dei sistemi operativi Windows ed infetta i computer attraverso documenti Word. Duqu viene considerato un trojan molto pericoloso, in quanto mostra un funzionamento simile al noto Stuxnet, utilizzato per bloccare i sistemi di controllo di una centrale nucleare iraniana.

Il laboratorio di sicurezza CrySyS ha individuato il file di installazione del malware all’interno di un documento Word. Quando il file .doc viene aperto, viene installato il codice principale di Duqu che compromette il sistema sfruttando un bug del kernel di Windows. Microsoft è stata prontamente informata e in breve tempo rilascerà una patch per correggere la vulnerabilità. Difficilmente il tutto sarà corretto entro il prossimo patch day (previsto per martedì 8 novembre), ma in tal senso non vi sono ancora indicazioni ufficiali da parte del gruppo.

Symantec sottolinea che potrebbero esserci altri metodi per diffondere il malware, per cui consiglia di non aprire documenti provenienti da fonti non attendibili e di utilizzare antivirus aggiornati, molti dei quali rilevano e bloccano Duqu. Ancora non è ancora chiaro come il file Word sia entrato nei server delle aziende, ma si ipotizza l’utilizzo di tecniche di social engineering.

Attualmente la diffusione di Duqu è ancora limitata. Sono arrivate conferme da sei organizzazioni in otto Paesi (Francia, Olanda, Svizzera, Ucraina, India, Iran, Sudan e Vietnam). In una delle sei aziende, i malintenzionati hanno diffuso l’infezione attraverso il protocollo SMB. Nei casi in cui il server non era connesso ad Internet, Duqu è riuscito a raggiungere i computer utilizzando la rete peer-to-peer presente all’interno dell’azienda, fino ad arrivare al server controllato da remoto. I due server C&C (Command&Control) in Belgio e in India utilizzati per l’attacco sono stati disattivati.