Il Laboratory of Cryptography and System Security (CrySyS) ungherese ha scoperto che la routine di installazione di Duqu sfrutta una vulnerabilità non corretta del kernel di Windows.
Duqu utilizza un documento Word creato ad arte che riesce a caricare un driver del kernel sfruttando un baco non corretto; il driver carica, quindi, una DLL in Services.exe per avviare l’installazione di Duqu nel computer vittima dell’attacco. La compilazione del driver secondo l’header PE sarebbe avvenuta il 21/02/2008 alle 06:14:47.
La vulnerabilità non è di Word, ma del kernel, quindi questo vettore di attacco potrebbe essere sfruttato in altri modi, finché Microsoft non decide di correggere questo problema.
Secondo un’analisi di McAfee, il sistema appena descritto sarebbe già stato presente in Stuxnet.
Sophos riporta che Microsoft sta lavorando per correggere il problema del kernel. Sempre secondo Redmond [PDF], il loro sistema di pulizia dal malware non residente (il Malicious Software Removal Tool distribuito ogni mese con Windows Update) non ha rilevato alcun 0-day, ma sono dati che lasciano il tempo che trovano, in quanto il tool non è aggiornato come gli antivirus residenti e viene spesso ignorato dagli utenti.
Lascia un commento