Descubren que Duqu explota un 0-day en Windows

El grupo CrySyS (Cryptography and System Security) de Hungría ha descubierto que un instalador de Duqu, concretamente un documento word (.doc), explota una vulnerabilidad 0-day en el kernel de Windows.

El siguiente gráfico explica más detalladamente cómo el exploit en el documento word realiza la instalación de Duqu:



Microsoft ya ha sido avisado de la vulnerabilidad y está trabajando en el aviso y parche correspondiente. No obstante, al tratarse de una vulnerabilidad del kernel y al haberse descubierto un único instalador, los investigadores no excluyen que existan otros vectores de infección.

Una vez que consigue infiltrarse en una organización, Duqu puede auto propagarse copiándose a sí mismo en carpetas compartidas en red (SMB shares) e incluso comunicarse con otras máquinas infectadas para usarlas como proxy en la comunicación con el servidor C&C.

Además, quién está detrás de este malware ha puesto offline un servidor C&C en Bélgica con IP 77.241.93.160 que fue recientemente descubierto, al igual que hicieron con otro servidor localizado en la India, lo que demuestra que están monitorizando la situación y actuando en consecuencia.

Por último Symantec ha sido capaz de confirmar infecciones en Francia, Holanda, Suiza, Ucrania, India, Irán, Sudán y Vietnam, mientras que otras empresas de seguridad informan de incidentes en Austria, Hungría, Indonesia y Reino Unido.

Fuente: Symantec: Blog oficial y Whitepaper técnico

Comentarios