DUQU nutzt ein Word-Dokument für seine böse Fracht

Originalartikel von Karl Dominguez, Threat Response Engineer

Die Forscher der Budapester University of Technology an Economics, die den DUQU-Trojaner entdeckt hatten, haben nun den bislang noch nicht bekannten Dropper des Schädlings identifiziert: Es handelt sich um ein Microsoft Word-Dokument, dass einen Zero-Day Kernel-Exploit anstößt. Danach legt das Dokument die Installer-Dateien mit den DUQU-Komponenten ab. Details dazu finden sich hier sowie in den Reports

Die folgende Abbildung zeigt den Ablauf eines solchen Angriffs:

 

Mittlerweile hat Microsoft ein Security Advisory zu der Schwachstelle veröffentlicht. Diese Schwachstelle existiert in der Parsing Engine für Win32k True Type Fonts und ermöglicht das Anheben von Berechtigungen. Laut Advisory können Angreifer Zufallscode im Kernel-Modus ausführen.

Trend Micro-Anwender sind über das Smart Protection Network vor DUQU geschützt, denn die File Reputation Services erkennen die bösartige Datei und verhindern das Ausführen der Routinen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*