Tijdelijke oplossing voor Duquvirus
Microsoft heeft een tijdelijke oplossing voor een belangrijke kwetsbaarheid die momenteel wordt misbruikt door de Duqu-trojan.
Duqu is een variant van Stuxnet, een virus dat vorig jaar veel stof deed opwaaien. Symantec ontdekte eerder deze week al dat het virus werd opgemerkt bij zes bedrijven verspreid over acht landen: Frankrijk, Nederland, Zwitserland, Oekraïne, India, Iran, Soedan en Vietnam. Tegelijk zou een server die het virus gebruikt in België staan.
In een Security Advisory zegt Microsoft dat een kwetsbaarheid in de Win32k TrueType font-parsing engine elke versie vanaf Windows XP tot Windows 7 treft. De kwetsbaarheid wordt momenteel ernstig genomen omdat de Duqu-malware, een Trojaans paard, sinds kort computers infecteert via een Word-document.
“Een aanvaller die met succes deze kwetsbaarheid kan misbruiken, kan code in kernelmodus laten lopen”, staat te lezen in de uitleg van Microsoft. “De aanvaller kan vanaf dan programma’s installeren, data bekijken, aanpassen of verwijderen en nieuwe accounts aanmaken met volledige rechten.”
Beveiligers ingelicht
Om verdere verspreiding te voorkomen heeft Microsoft beveiligingsbedrijven intussen ingelicht over hoe ze Duqu kunnen identificeren. “Dit wil zeggen dat antimalwarebedrijven binnen enkele uren nieuwe handtekeningen kunnen uitrollen die pogingen om deze kwetsbaarheid te misbruiken kunnen detecteren.” Aldus Jerry Bryant, Microsofts baas van de Response Communications and Trustworty Computing Group, in een blogpost.
Het Word-document waarin het installatiebestand voor Duqu zat, werd gemaakt om één specifieke organisatie te treffen en werd slechts geïnstalleerd tijdens een periode van acht dagen in augustus, zegt Symantec. Volgens het beveiligingsbedrijf is het moeilijk na te gaan in hoeverre het virus intussen is verspreid.