Originalartikel von Karl Dominguez, Threat Response Engineer
Die Forscher der Budapester University of Technology an Economics, die den DUQU-Trojaner entdeckt hatten, haben nun den bislang noch nicht bekannten Dropper des Schädlings identifiziert: Es handelt sich um ein Microsoft Word-Dokument, dass einen Zero-Day Kernel-Exploit anstößt. Danach legt das Dokument die Installer-Dateien mit den DUQU-Komponenten ab. Details dazu finden sich hier sowie in den Reports
Die folgende Abbildung zeigt den Ablauf eines solchen Angriffs:
Mittlerweile hat Microsoft ein Security Advisory zu der Schwachstelle veröffentlicht. Diese Schwachstelle existiert in der Parsing Engine für Win32k True Type Fonts und ermöglicht das Anheben von Berechtigungen. Laut Advisory können Angreifer Zufallscode im Kernel-Modus ausführen.
Trend Micro-Anwender sind über das Smart Protection Network vor DUQU geschützt, denn die File Reputation Services erkennen die bösartige Datei und verhindern das Ausführen der Routinen.