Nieuws
image

Zeer ernstig lek in Windows-kernel ontdekt

woensdag 2 november 2011, 00:02 door Redactie, 18 reacties

De Duqu "supermalware" die onlangs werd ontdekt gebruikte een zeer ernstig en onbekend lek in de Windows-kernel om computers over te nemen, zo hebben Hongaarse onderzoekers ontdekt. Tot nu toe was het onbekend hoe Duqu zich verspreidde. Symantec kondigde op 18 oktober het bestaan van de malware aan, die volgens het anti-virusbedrijf door dezelfde makers was ontwikkeld die eerder de zeer geavanceerde Stuxnetworm maakten. Stuxnet werd ontwikkeld om het nucleaire programma van Iran te saboteren. Duqu zou informatie verzamelen om Stuxnet-achtige aanvallen mogelijk te maken.

Aangezien het installatieprogramma van Duqu niet was gevonden, bleef het gissen hoe de malware zich verspreidde. Het Hongaarse CrySys heeft een installatieprogramma gevonden. Het gaat om een Microsoft Word document dat een onbekend lek in de Windows-kernel misbruikt, waardoor de aanvallers willekeurige code op het systeem kunnen uitvoeren. Het Word document is op maat gemaakt voor de aangevallen organisatie. Verder blijkt dat de gebruikte shell-code ervoor zorgt dat Duqu alleen maar tijdens een periode van acht dagen in augustus op systemen wordt geïnstalleerd.

Patch
Symantec merkt op dat dit het enige installatieprogramma is dat tot nu toe gevonden is. Het kan dus zijn dat de aanvallers ook andere manieren gebruikten om computers over te nemen. Elk exemplaar van Duqu was uniek en op maat gemaakt. Microsoft laat via Twitter weten dat het inmiddels aan een beveiligingsupdate werkt. Tot die tijd adviseert Symantec om documenten van onbekende te vermijden en alternatieve software te gebruiken.

Eenmaal geïnstalleerd kan Duqu andere computers binnen het netwerk infecteren. Er is bewijs gevonden dat Duqu zich via gedeelde SMB-mappen verspreidde. Sommige van de besmette computers waren niet met het internet verbonden. Daarvoor gebruikte Duqu een "file-sharing C&C protocol", waarbij een besmette computer die wel verbinding had, als een proxy werd gebruikt. Daardoor konden de aanvallers toch met computers in beveiligde zones communiceren.

Nederland en België
Inmiddels zijn er Duqu-infecties bij zes organisaties in acht landen aangetroffen. Eén van de aangevallen organisaties bevindt zich in Nederland, maar deze organisatie heeft ook vestigingen in Frankrijk, Zwitserland en de Oekraïne. De overige aangevallen organisaties bevinden zich in India, Sudan, Vietnam en twee keer Iran. Symantec merkt op dat andere anti-virusbedrijven infecties in Oostenrijk, Hongarije, Indonesië, Groot-Brittannië en bij andere Iraanse organisaties hebben waargenomen.

Het was al bekend dat de ontdekte Duqu-infecties met een Indiase server communiceerden, die inmiddels door de Indiase overheid in beslag is genomen. Een andere infectie die Symantec ontdekte blijkt met een Belgische server te communiceren. Deze server is inmiddels offline gehaald.

Reacties (18)
02-11-2011, 08:36 door anoniem lafbekje
Goede infographic hier: http://www.symantec.com/connect/w32-duqu_status-updates_installer-zero-day-exploit
02-11-2011, 09:18 door spatieman
wat zijn bill nog eens, W7 super veilig..
02-11-2011, 09:42 door Anoniem
Dan geloof ik nu sterker in een verband tussen stuxnet en duqu; een onbekende en exploitbare kernelbug gebruiken kan je alleen als je genoeg mankracht hebt om zoiets te vinden, of genoeg geld om zoiets te kopen (en verder stil te houden). En met welk doel? Niet met de kosten terug te verdienen via botnets.
02-11-2011, 10:08 door Anoniem
Hoe dan ook, je moet het nageven dat de organisatie die hier achter zit uit knappe bollen bestaat die blijkbaar beter op de hoogte zijn van de werking van Windows dan Microsoft en de antivirusmakers samen.
02-11-2011, 11:16 door Anoniem
Door Anoniem: Hoe dan ook, je moet het nageven dat de organisatie die hier achter zit uit knappe bollen bestaat die blijkbaar beter op de hoogte zijn van de werking van Windows dan Microsoft en de antivirusmakers samen.

Aah nee joh, waarschijnlijk het handige neefje van de boekhouder.
02-11-2011, 11:24 door Anoniem
absoluut, maar sterker nog, ze zijn ook nog eens slim op andere gebieden. Heb je gezien hoe het geobfusceerde jpg bestand dat via de http connectie verstuurd word heette? DSC0001.jpg
Ring a bell? En zo met de processen, dll's, de hele mikmak. Alles erop gericht om NIET in het oog te springen.

Hoe evil het ook is, petje af.
02-11-2011, 12:04 door [Account Verwijderd]
[Verwijderd]
02-11-2011, 12:08 door golem
Tot die tijd adviseert Symantec om documenten van onbekende te vermijden

Dat moet je altijd doen.
02-11-2011, 12:15 door [Account Verwijderd]
[Verwijderd]
02-11-2011, 12:47 door [Account Verwijderd]
[Verwijderd]
02-11-2011, 16:56 door SirDice
Ik zie veel artikelen over dit die melden dat het om een "remote code execution" bug zou gaan. Met de karige informatie die beschikbaar is kan ik toch niet anders concluderen dat het een "local" exploit betreft en geen "remote". De exploit is immers embedded in een Word document en wordt daarom dus lokaal uitgevoerd.
02-11-2011, 17:30 door Anoniem
Symantec blijft stellig beweren dat Duqu gemaakt is door iemand die toegang heeft tot de broncode van Stuxnet. Andere security vendors zeggen dat de overeenkomsten helemaal niet zo kenmerkend zijn. Ik neig ernaar om Symantec te geloven, omdat ze zeer veel kennis van Stuxnet hebben. Wat denken jullie?
02-11-2011, 19:53 door Anoniem
is het nu zo moeilijk om in Microsoft kernel sourcecode te kijken, die wordt gewoon "voor researchdoeleinden" aan universiteiten gegeven. Dus informatie over kerneldetails is er genoeg. En denk ja dat alle studenten hun kennis weer vergeten na het diploma? Of dat ze alle USB-sticks wissen. Sommigen zetten die code ook 'per ongeluk' op internet, zoals waar ik het ooit tegenkwam. Tja....
03-11-2011, 06:37 door Anoniem
Ik vind er niets knap aan, aan die makers van die rotzooi.

http://www.f-secure.com/weblog/archives/00002255.html
04-11-2011, 09:13 door Dev_Null
Windows is - volgens mijn gutfeeling - gewoon ONTWORPEN als remote control operating system?
Waarom zouden er anders steeds meer "bugs" in iedere laag van die (remote spying) operating system worden gevonden die dingen mogelijk maken zoals
- remote code execution (via Internet Exploder)
- Het overnemen van de gehele pc mogelijk maken

Volgens mij word er alleen maar de ILLUSIE VERKOCHT dat je een PC besturingssysteem is, terwijl je eigenlijk gewoon een aangepaste versie van "Windows Terminal Server Client" installeert, waardoor Redmond (NSA, FBI, CIA, Big Brother) ten aller tijd MET ALLES KAN MEEKIJKEN wat jij op je win-doos aan het doen bent.

Het zou ook leuk passen in de strategy va het Pentagon en de USAF, die samen "Full Spectrum Dominance" willen hebben over de gehele wereld en internet

Lees meer hierover op deze links
http://csat.au.af.mil/2025/index.htm
http://en.wikipedia.org/wiki/Full-spectrum_dominance
http://www.globalresearch.ca/index.php?context=va&aid=14046
http://www.defense.gov/news/newsarticle.aspx?id=45289


Vraag: Dames, heren: Wat zijn jullie gedachten hierover?
04-11-2011, 10:00 door SirDice
Zoals ik al dacht, gewoon een local exploit en geen remote code execution.

http://technet.microsoft.com/en-us/security/advisory/2639658
http://support.microsoft.com/kb/2639658

Ik begrijp alleen niet wat font-parsing met de kernel te maken heeft en waarom je door deze bug code in kernel space kunt uitvoeren.
04-11-2011, 10:05 door SirDice
Door Dev_Null: Vraag: Dames, heren: Wat zijn jullie gedachten hierover?
Dat je uit je nek lult.
09-11-2011, 12:58 door Dev_Null
@SirDice: Ik begrijp wel meer niet over het WAT, HOE en WAAR het e.e.d in de Windows "Kernel" word uitgevoerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure