DUQU nutzt ein Word-Dokument für seine böse Fracht

Schreibe eine Antwort

Originalartikel von Karl Dominguez, Threat Response Engineer

Die Forscher der Budapester University of Technology an Economics, die den DUQU-Trojaner entdeckt hatten, haben nun den bislang noch nicht bekannten Dropper des Schädlings identifiziert: Es handelt sich um ein Microsoft Word-Dokument, dass einen Zero-Day Kernel-Exploit anstößt. Danach legt das Dokument die Installer-Dateien mit den DUQU-Komponenten ab. Details dazu finden sich hier sowie in den Reports

Die folgende Abbildung zeigt den Ablauf eines solchen Angriffs:

 

Mittlerweile hat Microsoft ein Security Advisory zu der Schwachstelle veröffentlicht. Diese Schwachstelle existiert in der Parsing Engine für Win32k True Type Fonts und ermöglicht das Anheben von Berechtigungen. Laut Advisory können Angreifer Zufallscode im Kernel-Modus ausführen.

Trend Micro-Anwender sind über das Smart Protection Network vor DUQU geschützt, denn die File Reputation Services erkennen die bösartige Datei und verhindern das Ausführen der Routinen.

 

Ähnliche Artikel:

  1. USB-Wurm nutzt Windows Shortcut-Schwachstelle aus
  2. UPDATE: Wurm nutzt Windows Shortcut-Schwachstelle aus
  3. Cyber-Angriffe auf Google und andere – Wer ist wirklich gefährdet?
  4. Eine RTF-Datei nutzt eine Schwachstelle in Microsoft Office
  5. Zero-Day-Lücke umgeht Windows UAC

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.