Duqu korzysta z luki modułu czcionek TrueType

Osławiony program szpiegowski Duqu wykorzystuje do zainfekowania systemu Windows błąd bardzo podobny do tego, który Microsoft załatał w ubiegłym miesiącu. Chodzi tu o lukę w module odpowiedzialnym za obsługę czcionek TrueType. Koncern udostępnił już zresztą narzędzie, umożliwiające tymczasowe zabezpieczenie systemu przed atakiem.

Microsoft pod koniec ubiegłego tygodnia oficjalnie potwierdził, że luka zero-day wykorzystywana przez Duqu znajduje się w module odpowiedzialnym za parsowanie czcionek TrueType - jest to o tyle interesujące, że bardzo podobny błąd załatano w październikowym pakiecie aktualizacji dla produktów koncernu z Redmond.

Przedstawiciele firmy poinformowali również, że pracują już nad odpowiednią poprawką - ale wymaga ona dopracowania i przetestowania, w związku z tym nie pojawi się w ramach planowanego na jutro listopadowego zestawu poprawek. Patch udostępniony zostanie prawdopodobnie poza standardowym cyklem aktualizowania produktów Microsoftu - do czasu jego pojawienia się użytkownicy mogą skorzystać z opublikowanego na stronie firmy narzędzia FixIt (skryptu, wyłączającego wadliwy komponent).

Zobacz również:

  • Ważne poprawki dla Windows
  • Błąd w AppGallery pozwala pobierać płatne aplikacje za darmo

Z analiz przeprowadzonych przez specjalistów z firmy Symantec wynika, że Duqu zwykle dostarczany jest do atakowanego komputera w postaci odpowiednio zmodyfikowanego pliku Word, dołączonego do wiadomości e-mail. Opis i treść owej wiadomości dobrane są tak, by odbiorca uznał go za bezpieczny, przeznaczony dla niego komunikat. Otwarcie pliku powoduje uruchomienie exploita, który wykorzystując lukę w Windows instaluje w systemie złośliwy kod.

Zdaniem ekspertów ds. bezpieczeństwa, zadaniem Duqu jest przeprowadzenie kompleksowego rekonesansu w wybranych systemach informatycznych, który następnie wykorzystany zostanie do przeprowadzenia ataku za pomocą innego, dużo groźniejszego programu. Zwykle mówi się o "kolejnym Stuxnecie", czyli wysoce wyspecjalizowanym destrukcyjnym programie (przypomnijmy: zadaniem Stuxneta było takie zmodyfikowania oprogramowani sterującego pracą wirówek do wzbogacania uranu w irańskich ośrodkach atomowych, by urządzenia te uległy fizycznym uszkodzeniom).

Z informacji przedstawionych przez Microsoft wynika, że koncern uznał lukę związaną z obsługą TrueType za klasyczny "błąd eskalacji przywilejów" (umożliwiający jakiemuś kodowi wykonanie operacji z pominięciem weryfikacji przywilejów).

Jak już wspomnieliśmy, istnieje metoda tymczasowego zabezpieczenia się przed atakiem - poprzez wyłączenie wadliwego komponentu Windows (biblioteki t2embed.dll). Można to zrobić korzystając z narzędzia FixIt - ale warto pamiętać, że taka operacja może spowodować problemy z wyświetlaniem niektórych czcionek (nie tylko w MS Word, ale również w innych aplikacjach).

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200