I ricercatori del laboratorio ungherese CrySyS (Laboratory of Cryptography and System Security) e di Symantec hanno scoperto una vulnerabilità zero-day che apre la porta al malware Duqu sui computer con sistema operativo Windows. Il malware si annida in un file infetto di Word.
Ricordiamo che Duqu è un worm scoperto di recente che sembra essere stato progettato per realizzare attacchi mirati contro un numero ridotto di obiettivi, e che può essere modificato a seconda del "compito" che gli viene via via assegnato.
Inizialmente sembrava che la nuova piaga informatica fosse un derivato di Stuxnet, in realtà analisi più recenti da parte degli esperti di sicurezza di SecureWorks hanno portato alla conclusione che sia Duqu sia Stuxnet sono tasselli sofisticati di malware formati da più componenti, ma che non hanno "legami di parentela".
Duqu sfrutta una vulnerabilità nel kernel di Windows per entrare nei PC tramite un file di Word
All'apertura del file Word (tramite la tecnica del "social engineering"), l'installer integrato nel documento si attiva ed esegue codice shell Windows per installare una DLL e un driver nel sistema, facendo l'hijacking dei servizi di controllo.
In questo modo Duqu apre una porta che consente a un malintenzionato di accedere e prelevare i dati del sistema in via remota e nel frattempo infettare altri sistemi della rete. Sempre stando alle informazioni per ora note, sembra che il worm sia stato scritto per installarsi solo nell'arco di otto giorni, e che finora sia passato indenne a scansioni antivirus, firewall e affini.
Secondo gli esperti di sicurezza ci sono analogie fra Stuxet e Duqu, ma non sono la stessa cosa
In seguito alla segnalazione, i ricercatori Microsoft si sono messi all'opera e si attende a breve un aggiornamento di sicurezza così come comunicato da Redmond in un comunicato ufficiale. Non è chiaro se arriverà entro l'otto novembre, giorno del Patch Day mensile.
Intanto recentemente si è scoperto che Duqu sarebbe in grado di diffondersi attraverso le reti sfruttando le connessioni SMB usate per la condivisione di file fra i computer. Inoltre, quando infetta sistema non collegati direttamente a Internet, usa un protocollo file sharing per collegarsi a computer che hanno accesso al Web e formare così una nuova rete di controllo.
Secondo Symantec Duqu avrebbe già contagiato sei grandi aziende in otto paesi, tra cui Francia, Paesi Bassi, Svizzera, Ucraina, India, Iran, Sudan e Vietnam. I ricercatori di Symantec hanno anche scoperto un server di controllo (ora "spento") usato da alcune versioni di Duqu per comunicare con gli aggressori: si trova in Belgio e sfrutta l'indirizzo IP 77.241.93.160. In precedenza era stato usato un server in India.
Assoprovider: cittadini proprietari dell'ultimo miglio
Xoom 2 da 8,9 pollici a 399 euro con Honeycomb?
Schermi OLED flessibili sui cellulari Samsung 2012
Smartphone e TV Android con eyeSight, come Kinect
Gmail si fa bella, ma su Google Reader è polemica
Flop Ultrabook: costano troppo rispetto all'Air
Julian Assange sarà estradato in Svezia: è finita?
Nokia Windows Phone, NovaThor per i dual-core
LG Optimus Dual e Android 4.0 ICS sono più vicini
Nook Color 2 come Kindle Fire, forse meglio
GTA V, primo trailer ufficiale: si ritorna in California
iOS 5.0.1 risolverà il bug dei consumi di iPhone 4S
La super memoria di Samsung e Micron già nel 2013
Ultraviolet è una schifezza, pirati non redenti
Amazon abilita il prestito degli e-book su Kindle
CPU: AMD lotta solo con le APU e solo nel mobile
Canon lavora ai nuovi super-teleobiettivi 400mm e 600mm Cellulare TTM Outlimits Solaris con pannello solare integrato Mio Cyclo 300 e Mio Cyclo 305 HC sono GPS da bicicletta Facebook vuole Opera per realizzare un nuovo browser? Microchip nei cetacei per studiare il clima e la fauna marina Le offerte 3 Italia per il Samsung Galaxy SIII in anteprima Steve Jobs geniale ma Cook è il capo perfetto per Apple Absinthe 2.0 per il jailbreak del Nuovo iPad e iOS 5.1.1 Google cancella 1,2 milioni di link pirata al mese TV a Ultra Alta Definizione: si parla già di standard Microsoft: Ballmer frainteso sui 500 milioni di Windows 8 Microsoft fa pagare caro lo sviluppo di applicazioni desktop Windows Phone non ha battuto Apple in Cina: tutte frottole Tablet Windows 8 con Flash sui siti approvati da Microsoft Ballmer pazzo per Windows 8: 500 milioni di copie in un anno Windows 8 e la fine del tasto F8: l'avvio è troppo veloce Windows 8 rivoluziona il multi-monitor anche con Metro Windows 8 multi-monitor Kinect per Windows capisce l'italiano e ti traccia tutto Microsoft So.cl per sfidare Facebook, Twitter e Google The Unknowns sono i buoni mentre Anonymous i cattivi? Norton Identity Safe per gli smemorati delle password Tanti i Mac infettati da Flashback per colpa di Wordpress Hacker di 15 anni viola 259 siti perché tutto il resto è noia Lo smartphone punta sulle password che brillano e vibrano Centro Europeo per il Cybercrime: abbiatene paura! Le reti TLC italiane sono a rischio di spionaggio cinese? Ricercatori italiani scoprono e risolvono un bug di Android Carte di credito NFC a rischio: chi sniffa compra su Amazon Indovina Chi? per la Polizia: 36 milioni di facce al secondo
LOL...gli impiegati lavorano in nanotuta Originariamente inviata da s4ndro
La falla permette anche di scavalcare l' UAC ????
se si mi dispiace ma la politica dei permessi d'accesso da parte dei processi all'interno dell'ambiente windows non ha fatto gran passi avanti negli ultimi 10 anni...
non volgio trollare ma il meccanismo sembra sempre lo stesso.. non capisco..
Originariamente inviata da s4ndro
La falla permette anche di scavalcare l' UAC ????
Duqu, il worm-Stuxnet che spia l'industria UE Norman Security stronca Duqu-Stuxnet Stuxnet fa paura: può lanciare testate nucleari Stuxnet, il virus che colpisce le centrali atomiche Stuxnet, il virus nucleare rinasce dalle sue ceneri Stuxnet fa suonare l'allarme: sicuri di essere sicuri? Worm Stuxnet potrebbe spegnere la luce agli inglesi Cyber-guerra in Iran: forse un nuovo Stuxnet Duqu non è Stuxnet, allarme worm esagerato Anche l'Italia avrà la sua cyber-roccaforte di difesa
19 commenti
Commenti