Stuxnet-Nachfolger nutzt Zero-Day in Windows Kernel

Über das Zero-Day-Leck im Windows-Kernel und über modifizierte Word-Dokumente befällt DuQu Systeme, wie Kevin Haley, Direktor von Symantec Security Response, mitteilt.

Auch das ungarische Sicherheitsunternehmen Cryptography and System Security (CrySyS) berichtet auf seiner Webseite mit wenigen Worten von dem Leck.

Ein Microsoft-Sprecher erklärte, dass der Softwarehersteller über das Problem informiert sei. “Wir arbeiten mit unseren Partnern zusammen, um Schutz für eine Schwachstelle bereitstellen zu können, die für zielgerichtete Angriffe auf Computer mit der DuQu-Malware benutzt wird.” Microsoft arbeite bereits an einer Lösung für das Problem. Unklar ist, ob das Update Bestandteil des November-Patchdays am kommenden Dienstag sein wird.

Die meisten Antivirenprogramme seien inzwischen in der Lage, DuQu zu erkennen und zu blockieren, teilte Symantec mit. Bis zur Behebung des Problems durch Microsoft, sollten Unternehmen Word-Dokumente aus unbekannten Quellen nicht öffnen. Die von dem Sicherheitsunternehmen aufgespürte Word-Datei sei jedoch nur für ein bestimmtes Unternehmen zusammengestellt worden. Außerdem habe der Schadcode in diesem Fall Rechner nur während eines Zeitraums von acht Tagen im August infizieren können.

Zahlen zur Verbreitung von DuQu nannte Symantec nicht; das Unternehmen nennt die Verbreitung jedoch nicht sonderlich hoch. Es seien dennoch inzwischen Infektionen in sechs Organisationen in acht Ländern bekannt: in Frankreich, den Niederlanden, der Schweiz, der Ukraine, dem Iran, dem Sudan und Vietnam. In einigen Fällen habe man den Trojaner zu einem Internet Service Provider zurückverfolgen können. Die tatsächliche Herkunft des Schädlings sei aber unbekannt. Andere Sicherheitsfirmen wollen den hochentwickelten Schadcode auch in Österreich, Ungarn, Indonesien und Großbritannien gefunden haben.


Die Verbreitung von DuQu nach Ländern. Quelle: Symantec

Innerhalb eines Unternehmens kann sich DuQu über Netzwerkfreigaben verbreiten und darüber auch Rechner erreichen, die nicht mit dem Internet verbunden sind, sagte Haley. Zudem habe sich gezeigt, dass die Malware Befehle von Servern in Indien und Belgien erhalte. “Das Geheimnis, wie die Schad-Software auf die Rechner kommt, wurde damit gelöst. Zumindest in diesem Fall.” Ziel von DuQu sei es, Daten zu sammeln. “Wir wissen aber immer noch nicht, wozu sie die Informationen verwenden werden.”

Die Autoren von DuQu hatten Symantec zufolge offensichtlich Zugriff auf den Quellcode von Stuxnet. Während Stuxnet aber Industriekontrollsysteme (Scada) von Siemens ins Visier nahm und damit scheinbar das Kernforschungsprogramm des Iran sabotieren wollte, installiert DuQu auf Windows-Systemen eine Hintertür und sammelt Dokumente wie Konstruktionspläne. Er sei wohl nicht dafür gedacht, den Betrieb von Industrieanlagen zu stören, heißt es.

Silicon-Redaktion

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

3 Tagen ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

3 Tagen ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

4 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

4 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

4 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

5 Tagen ago