Duqu korzysta z luki modułu czcionek TrueType
- Antoni Steliński,
- 07.11.2011, godz. 13:14
Osławiony program szpiegowski Duqu wykorzystuje do zainfekowania systemu Windows błąd bardzo podobny do tego, który Microsoft załatał w ubiegłym miesiącu. Chodzi tu o lukę w module odpowiedzialnym za obsługę czcionek TrueType. Koncern udostępnił już zresztą narzędzie, umożliwiające tymczasowe zabezpieczenie systemu przed atakiem.
Polecamy:
Przedstawiciele firmy poinformowali również, że pracują już nad odpowiednią poprawką - ale wymaga ona dopracowania i przetestowania, w związku z tym nie pojawi się w ramach planowanego na jutro listopadowego zestawu poprawek. Patch udostępniony zostanie prawdopodobnie poza standardowym cyklem aktualizowania produktów Microsoftu - do czasu jego pojawienia się użytkownicy mogą skorzystać z opublikowanego na stronie firmy narzędzia FixIt (skryptu, wyłączającego wadliwy komponent).
Zobacz również:
Z analiz przeprowadzonych przez specjalistów z firmy Symantec wynika, że Duqu zwykle dostarczany jest do atakowanego komputera w postaci odpowiednio zmodyfikowanego pliku Word, dołączonego do wiadomości e-mail. Opis i treść owej wiadomości dobrane są tak, by odbiorca uznał go za bezpieczny, przeznaczony dla niego komunikat. Otwarcie pliku powoduje uruchomienie exploita, który wykorzystując lukę w Windows instaluje w systemie złośliwy kod.
Zdaniem ekspertów ds. bezpieczeństwa, zadaniem Duqu jest przeprowadzenie kompleksowego rekonesansu w wybranych systemach informatycznych, który następnie wykorzystany zostanie do przeprowadzenia ataku za pomocą innego, dużo groźniejszego programu. Zwykle mówi się o "kolejnym Stuxnecie", czyli wysoce wyspecjalizowanym destrukcyjnym programie (przypomnijmy: zadaniem Stuxneta było takie zmodyfikowania oprogramowani sterującego pracą wirówek do wzbogacania uranu w irańskich ośrodkach atomowych, by urządzenia te uległy fizycznym uszkodzeniom).
Z informacji przedstawionych przez Microsoft wynika, że koncern uznał lukę związaną z obsługą TrueType za klasyczny "błąd eskalacji przywilejów" (umożliwiający jakiemuś kodowi wykonanie operacji z pominięciem weryfikacji przywilejów).
Jak już wspomnieliśmy, istnieje metoda tymczasowego zabezpieczenia się przed atakiem - poprzez wyłączenie wadliwego komponentu Windows (biblioteki t2embed.dll). Można to zrobić korzystając z narzędzia FixIt - ale warto pamiętać, że taka operacja może spowodować problemy z wyświetlaniem niektórych czcionek (nie tylko w MS Word, ale również w innych aplikacjach).