Stuxnet-„Nachfolger“ Duqu missbraucht Windows-Zero-Day

  • Article

Microsoft bestätigt Informationen des ungarischen Laboratory of Cryptography and System Security (CrySyS), nach denen die Duqu getaufte Malware für ihre Verbreitung eine bislang nicht bekannte Lücke im Windows-Kernel missbraucht. Experten vermuten, dass hinter Duqu die gleichen Programmierer stecken wie hinter dem seinerzeit viel diskutierten Schädling Stuxnet. Die Schadsoftware-Fachleute des Microsoft Malware Protection Center (MMPC) haben bei Analysen des Schädlings aber herausgefunden, dass Duqu keine Komponenten enthält, um SCADA (Supervisory Control and Data Acquisition) -Systeme zu modifizieren. Dies war eine der Kernfunktionen von Stuxnet.

Wie die US-Kollegen per Twitter offiziell bekannt gaben, entwickeln sie derzeit ein Update, um die Lücke in Windows zu schließen. Microsofts Antivirus-Produkte erkennen und entfernen Duqu bereits seit dem 21. Oktober 2011. Das Sicherheitsupdate wird nach Fertigstellung wie üblich intensiv getestet, um höchst mögliche Kompatibilität zu gewährleisten. Verbreitet wird das Update wie gewohnt per Windows Update. Gleichzeitig arbeitet Microsoft mit MAPP (Microsoft Active Protections Program)-Mitgliedern an weiteren Maßnahmen, um möglichst rasch maximal viele Kunden vor einer Duqu-Infektion zu schützen.

Microsoft geht davon aus, dass Duqu nur für sehr gezielte Angriffe eingesetzt wird. Es besteht daher sehr wahrscheinlich keine Gefahr einer massenhaften Infektion von Windows-PCs weltweit.

Die von der Malware missbrauchte Lücke wurde im vorliegenden Fall durch modifiziertes Word-Dokument missbraucht, wie Symantec in einem Blogbeitrag erläutert. Die Schwachstelle ist aber nicht in Word zu finden, sondern im Windows-Kernel. Das bedeutet, dass sie auch auf anderem Weg missbraucht werden könnte. Die Lücke erlaubt das Ausführen von Code aus der Ferne (Remote Code Execution), so dass ein Angreifer den infizierten PC vollständig unter seine Kontrolle bekommen kann.

Wer hinter Duqu steckt, ist derzeit unbekannt. Microsoft konzentriert sich aber auch voll auf das Schließen der Sicherheitslücke und wendet keine Ressourcen auf, um sich an Analysen zu beteiligen, die das Aufspüren der Macher von Duqu zum Ziel haben.