Duqu nutzt bislang unbekannte Lücke im Windows-Kernel
Microsoft hat bestätigt, dass der Duqu-Wurm, der zum Ausspionieren von Herstellern von Industriesteueranlagen eingesetzt wurde, eine Zero-Day-Lücke ausnutzt. Der Bot infiziert auch Rechner, die nicht direkt mit dem Internet verbunden sind.
- Ronald Eikenberg
Microsoft hat einen Bericht des Budapester Laboratory of Cryptography and System Security (CrySyS) bestätigt, laut dem sich der Duqu-Bot über eine Zero-Day-Lücke im Windows-Kernel verbreitet. Bislang war unklar, wie Duqu das System infiziert. Bei einer Analyse des Installers entdeckte CrySyS die Windows-Lücke. Der Bot, der nach Meinung des Antivirenherstellers Symantec mit dem Stuxnet-Wurm verwandt ist, infiziert sein Zielsystem mit Hilfe präparierter Word-Dateien, die den Schadcode durch einen Kernel-Exploit ins System einschleusen. Microsoft arbeitet bereits an einem Patch.
Symantec berichtet, dass Angreifer Duqu in einem Fall angewiesen haben, sich über Netzwerkfreigaben zu verbreiten. Dadurch konnte sich der Bot im Firmennetz weiterhangeln und auch Systeme infizieren, die nicht direkt an das Internet angebundenen sind. Diese wurden dann von Bots, die auf das Internet zugreifen dürfen, mit den Befehlen des Kommandoservers versorgt.
Duqu wird bislang nur für gezielte Angriffe eingesetzt. Der von Symantec untersuchte Installer war lediglich für ein Zeitfenster von acht Tagen im August scharf geschaltet. Symantec hat mögliche Infektionen bei sechs Unternehmen festgestellt, die in Frankreich, Niederlande, Schweiz, Ukraine, Indien, Iran Sudan und Vietnam tätig sind. Andere Sicherheitsfirmen wollen Infektionen in Österreich, Indonesien, Großbritannien entdeckt haben. Bei deutschen Unternehmen wurde Duqu bislang noch nicht gesichtet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Wirtschaft ausdrücklich aufgefordert, sich im Falle einer Infektion zu melden.
Mit Duqu wurden unter anderem Hersteller von Industriesteueranlagen ausspioniert. Das legt den Schluss nahe, dass die Angreifer mit entwendeten Firmengeheimnissen möglicherweise neue Attacken auf Industriesteueranlagen planen, etwa in Kraftwerken. Stuxnet wurde einst eingesetzt, um das iranische Atomprogramm zu sabotieren. Auch Stuxnet nutzte zuvor unbekannte Lücken in Windows aus.
Unterdessen melden die Sicherheitsexperten von Dells SecureWorks Counter Threat Unit (CTU) Zweifel an der Verwandtschaft von Duqu und Stuxnet an. Demnach nutzen die beiden Schädlinge zwar bis zu einem gewissen Grad ähnliche Rootkit-Methoden wie einen Kernel-Treiber, der eine verschlüsselte DLL zunächst entschlüsselt und anschließend in andere Prozesse injiziert. Diese Methoden sind laut Dell jedoch gängige Praxis und werden auch von zahlreichen anderen Schädlingen genutzt, die nichts mit Stuxnet zu tun haben. Die eigentliche Payload der beiden Schädlinge sei hingegeben völlig unterschiedlich und lasse keine Schlüsse auf eine Verwandtschaft zu. (rei)