0-day en el Kernel de Windows usado por virus Duqu

De acuerdo con a investigadores de Laboratory of Cryptography and System Security (CrySyS) de Hungría, el misterioso ataque del malware Duqu explota una vulnerabilidad 0-day en el Kernel de Windows.

Nuestro laboratorio, está realizando el análisis del malware Duqu y como resultado de la misma hemos identificado un archivo con exploit 0-day en el Kernel de Windows. De inmediato hemos proporciodo a los organismos competentes la información necesaria para que puedan tomar las medidas adecuadas para la protección de los usuarios.

Una versión de este ataque fue provocado por un archivo de Microsoft Word que, utilizando ingeniería social, buscaba explotar un 0-day en el Kernel de Windows. Microsoft ya ha confirmado que está trabajando en la investigación del ataque. De acuerdo a un informe reciente de Symantec:

Una vez Duqu consigue acceso a la organización a través del exploit 0-day, el malware puede propagarse a otras computadoras. En una organización se han encontrado pruebas que mostraron que Duqu puede propagrse a través de SMB, si bien algunas de las computadoras infectadas no tenían la capacidad de conectarse a Internet y por lo tanto al centro de Comando y Control (C & C) de los atacantes. Los archivos de configuración Duqu en estos equipos se han configurado para no comunicarse directamente con el C & C, sino utilizar otros equipos comprometidos que tenían conexión a Internet. En consecuencia, Duqu crea un proxy entre los servidores internos de la red y el servidor C & C. Esto permitió a los atacantes acceder a los equipos infectados por Duqu en zonas seguras.

Mientras que el número de casos de infecciones Duqu es limitado, hasta el momento han sido confirmadas en al menos estos países:

  • France
  • Netherlands
  • Switzerland
  • Ukraine
  • India
  • Iran
  • Sudan
  • Vietnam
  • Austria
  • Hungary
  • Indonesia
  • United Kingdom

Todas las muestras analizadas se habían configurado para comunicarse con un servidor alojado en la India pero Symantec informó de la recuperación de una nueva muestra de Duqu que se comunica con otro servidor de C & C alojado en en Bélgica con la dirección IP 77. 241. 93. 160 (ya bloqueada).

Para seguir el caso, Symantec ha publicado una actualización de su paper W32.Duqu [PDF] con importante información proporcionada por el Laboratorio CrySyS.
:: Link