Sicherheit
Trojaner nutzt Lücke im Windows-Kernel
von
Thorsten
Eggeling - 03.11.2011
Beim Trojaner Duqu wurde jetzt der Infektionsweg ermittelt. Die Verbreitung erfolgt über präparierte Word-Dokumente und über eine Sicherheitslücke im Windows-Kernel. Bisher sind allerdings nur Firmen-PCs betroffen.
Laut einem Bericht des Budapester Laboratory of Cryptography and System Security (CrySyS) bestätigt Microsoft, die Verbreitung des Duqu-Trojaners über eine bisher unbekannte Lücke im Windows-Kernel. CrySyS entdeckte die Windows-Lücke bei einer Analyse des Installations-Programms für den Trojaner. Demnach infiziert die Schadsoftware die Systeme der Opfer durch manipulierte Word-Dateien. Die wiederum schleusen den Schadcode durch eine Lücke im Windows-Kernel in das System ein. Microsoft teilt über Twitter mit, dass an einem Update zur Behebung der Sicherheitslücke gearbeitet wird.
Wie der Antivirenhersteller Symantec berichtet, wurde Duqu darauf programmiert, sich über Netzwerkfreigaben zu verteilen. Dadurch können auch PCs infiziert werden, die selbst keinen Internetzugang haben. Die Netzwerkinfrastruktur wird dann genutzt, um über Computer mit Internetzugang mit dem Kontrollserver des Bots zu kommunizieren.
Unternehmen in Frankreich, Niederlande, Indien, Iran, Sudan, Schweiz, Ukraine und Vietnam sind laut Symantec höchstwahrscheinlich betroffen. Andere Sicherheitsfirmen vermuten die Infektion mit Duqu in Österreich, Großbritannien und Indonesien. Deutschland ist nach derzeitigem Kenntnisstand bisher nicht betroffen. Es besteht Meldepflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI).
Nach Meinung von Symantec sind Duqu und Stuxnet miteinander verwandt. Diese Behauptung stellen jetzt die Sicherheitsexperten von Dells SecureWorks Counter Threat Unit (CTU) infrage. Zwar ähneln sich die Rootkit-Methoden, aber in den eigentlichen Nutzerdaten sind keine Hinweise auf eine Verwandtschaft gefunden worden.
[Update 04.11] Microsoft hat inzwischen ein Fix-it-Tool veröffentlicht, mit dem sich die Sicherheitslücke schließen lässt. Außerdem gibt es auch im Microsoft Security Advisory (2639658) eine Anleitung, wie sich das Problem manuell beheben lässt. Dabei kann es allerdings Nebenwirkungen geben. Programme, die Fonts über T2EMBED.DLL einbetten, stellen die Schriften dann möglicherweise nicht mehr korrekt dar.
