Alfonso Maruccia

Duqu, attacco zero-day

Il malware sfrutterebbe una vulnerabilità nel kernel di Windows per prendere il controllo del sistema. Microsoft è stata informata ma la patch sembrerebbe ancora lontana

Roma - Nuove informazioni provenienti dai ricercatori di sicurezza europei contribuiscono a diradare ulteriormente il mistero Duqu: il malware derivato da Stuxnet e potenzialmente foriero di nuovi attacchi a infrastrutture e organizzazioni industriali sfrutta una vulnerabilità zero-day presente nel kernel di Windows, dicono i ricercatori.

Per l'installazione sul sistema, Duqu "passa" attraverso un file Word apparentemente legittimo, dicono gli esperti del Laboratorio di Cifratura e Sicurezza dei Sistemi dell'Università di Budapest (CrySyS): il codice shell del malware va in esecuzione appena l'ignaro utente apre il file, permettendo a Duqu di prendere il controllo del sistema installando i suoi componenti - file DLL e driver di sistema.

A ulteriore conferma del fatto che Duqu sia un esperimento condotto per ottenere informazioni da usare in attacchi successivi, gli esperti del CrySyS hanno scoperto che l'installazione del malware attraverso la vulnerabilità zero-day di Windows era programmata per essere eseguita solo in un periodo di otto giorni nello scorso agosto.
I ricercatori del CrySyS hanno già provveduto a informare Microsoft delle nuove scoperte in merito a Duqu, ma a quanto pare Redmond non farà in tempo a chiudere la falla zero-day in tempo per il prossimo "patch day" (8 novembre). Si prospetta la distribuzione di una patch fuori ciclo con carattere di urgenza?

Alfonso Maruccia
Notizie collegate
  • SicurezzaDuqu, figlio di Stuxnet e di madre ignotaIl nuovo, sofisticato malware ruba-informazioni continua a far parlare di sé: Kaspersky dice di aver individuato nuove infezioni in paesi come l'Iran, e di essere ancora alla caccia del sample originale
14 Commenti alla Notizia Duqu, attacco zero-day
Ordina
  • da profana in materia, ma da costante utilizzatrice di word, chiedevo se il problema di cui parlate può manifestarsi così come sta capitando a me da qualche giorno: all'apertura di alcuni di file di word, che da verifica antivirus non risultano essere contaminati, improvvisamente, dopo pochi secondi, si apre un finestra che avvisa che "word ha smesso di funionare".
    A quel punto il file si chiude automaticamente, con ogni impossibilità di poter lavorare sul documento.
    Al riguardo il pc non mi specifica alcuna causa dell'errore o del malfunzionamento.
    Attendo un Vostro cortese riscontro.
    Grazie.
    Silvia
    non+autenticato
  • - Scritto da: SILVIA GAMBERONI
    > da profana in materia, ma da costante
    > utilizzatrice di word,

    Le due cose sono come i carabinieri: sempre a braccetto.

    > chiedevo se il problema di
    > cui parlate può manifestarsi così come sta
    > capitando a me da qualche giorno: all'apertura di
    > alcuni di file di word, che da verifica antivirus
    > non risultano essere contaminati,

    Specificare antivirus e versione.
    (Se si tratta del NAV non conta, in quanto esso stesso virus).

    > improvvisamente, dopo pochi secondi, si apre un
    > finestra che avvisa che "word ha smesso di
    > funionare".

    Si presume che per smettere di funzionare abbia prima cominciato a farlo.

    > A quel punto il file si chiude automaticamente,
    > con ogni impossibilità di poter lavorare sul
    > documento.
    > Al riguardo il pc non mi specifica alcuna causa
    > dell'errore o del
    > malfunzionamento.
    > Attendo un Vostro cortese riscontro.
    > Grazie.
    > Silvia

    www.openoffice.org
  • Per colui che ha commentato la mia richiesta di chiarimenti:
    1) se non hai nulla di utile da dire, evita di intervenire;
    2) l'utilizzo di word, come è ovvio che sia, non presuppone chissà quali conoscenze informatiche, ovvero l'utente non necessariamente è, o deve essere, un esperto in informatica;
    3) è chiaro che il problema da me segnalato presuppone che word inizialmente funzioni (ho infatti precisato che il problema si manifesta dopo l'apertura di alcuni files);
    4) l'antivirus in uso è Kaspersky Internet Security 2012.

    Ma ripeto, se non hai nulla di utile da dire, o da osservare, evita di intervenire nella discussione.
    Grazie
    Silvia
    non+autenticato
  • - Scritto da: silvia
    > Per colui che ha commentato la mia richiesta di
    > chiarimenti:
    > 1) se non hai nulla di utile da dire, evita di
    > intervenire;

    Ti ha fatto domande che evidentemente non hai la preparazione decnica per comprendere:
    - Che antivirus ?

    > 2) l'utilizzo di word, come è ovvio che sia, non
    > presuppone chissà quali conoscenze informatiche,
    > ovvero l'utente non necessariamente è, o deve
    > essere, un esperto in informatica;

    Allora se hai problemi chiama un tecnico.

    > 3) è chiaro che il problema da me segnalato
    > presuppone che word inizialmente funzioni (ho
    > infatti precisato che il problema si manifesta
    > dopo l'apertura di alcuni files);

    Non era chiaro per niente, che fanno quegli stessi files se vengono caricati da una suite alternativa come openoffice ?

    > 4) l'antivirus in uso è Kaspersky Internet
    > Security 2012.

    Era ora, nessun segnale da Kaspersky ?
    Office e' originale ?

    > Ma ripeto, se non hai nulla di utile da dire, o
    > da osservare, evita di intervenire nella
    > discussione.

    Ma l'hai reinstallato Office ? E' originale vero ?

    > Grazie
    > Silvia
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: silvia
    > > Per colui che ha commentato la mia richiesta
    > di
    > > chiarimenti:
    > > 1) se non hai nulla di utile da dire, evita
    > di
    > > intervenire;
    >
    > Ti ha fatto domande che evidentemente non hai la
    > preparazione decnica per comprendere:
    >
    > - Che antivirus ?
    >
    > > 2) l'utilizzo di word, come è ovvio che sia,
    > non
    > > presuppone chissà quali conoscenze
    > informatiche,
    > > ovvero l'utente non necessariamente è, o deve
    > > essere, un esperto in informatica;
    >
    > Allora se hai problemi chiama un tecnico.
    >
    > > 3) è chiaro che il problema da me segnalato
    > > presuppone che word inizialmente funzioni (ho
    > > infatti precisato che il problema si
    > manifesta
    > > dopo l'apertura di alcuni files);
    >
    > Non era chiaro per niente, che fanno quegli
    > stessi files se vengono caricati da una suite
    > alternativa come openoffice
    > ?
    >
    > > 4) l'antivirus in uso è Kaspersky Internet
    > > Security 2012.
    >
    > Era ora, nessun segnale da Kaspersky ?
    > Office e' originale ?
    >
    > > Ma ripeto, se non hai nulla di utile da
    > dire,
    > o
    > > da osservare, evita di intervenire nella
    > > discussione.
    >
    > Ma l'hai reinstallato Office ? E' originale vero ?
    >
    > > Grazie
    > > Silvia
    Fatevelo dire, siete proprio dei signori..un utente meno esperto chiede una mano e voi subito a coglionare, non tutti sono ferrati e se qualcuno chiede aiuto è uso della netiquette (se sapete cosa è) dare una mano o quantomeno indicare in quale forum chiedere (sempre se siete così esperti come ve la mentate).
    non+autenticato
  • esiste un mercato nero, molto prolifico, in cui si vendono e comprano exploit per falle pubblicamente ignote

    questo mette la parola fine ai "consigli della nonna" che volevano l'utente sciocco e non avvezzo agli aggiornamenti come unica vittima dei malware

    esistono malware che sfruttano falle per cui non ci sono patch, per cui è bene che chi li fa quei software ( e i loro accoliti in giro per forum ) si assuma le proprie responsabilità e la smetta di accusare sempre il poveraccio che sta tra la tastiera e la sedia
    non+autenticato
  • - Scritto da: collione
    > esiste un mercato nero, molto prolifico, in cui
    > si vendono e comprano exploit per falle
    > pubblicamente
    > ignote
    >
    > questo mette la parola fine ai "consigli della
    > nonna" che volevano l'utente sciocco e non
    > avvezzo agli aggiornamenti come unica vittima dei
    > malware
    >
    > esistono malware che sfruttano falle per cui non
    > ci sono patch, per cui è bene che chi li fa quei
    > software ( e i loro accoliti in giro per forum )
    > si assuma le proprie responsabilità e la smetta
    > di accusare sempre il poveraccio che sta tra la
    > tastiera e la
    > sedia


    Alfonso Maruccia purtroppo non riporta mai la notizia in forma integrale su tutto ma scrive sempre e solo che esiste il malware senza specificare niente in riguardo


    http://www.webnews.it/2011/11/02/duqu-sfrutta-un-b...

    Attualmente la diffusione di Duqu è ancora limitata............
    ......e di utilizzare antivirus aggiornati, molti dei quali rilevano e bloccano Duqu........
    ........I due server C&C (Command&Control) in Belgio e in India utilizzati per l’attacco sono stati disattivati.



    anche ALTRI Antivirus rilevano e bloccano questa variante di StuxNet malware con la protezione in tempo reale del sistema fin dal 20 ottobre 2011

    http://techblog.avira.com/2011/10/21/stuxnet-v2-or.../


    ricordando che il malware per chi scarica file .doc contaminati da fonti inaffidabili si esegue e si installa sul sistema tramite social engineering solo per chi si logga con account Administrator o disabilita UAC su Windows Vista e Windows 7 + sta pure senza antivirus
    -----------------------------------------------------------
    Modificato dall' autore il 04 novembre 2011 10.00
    -----------------------------------------------------------
    Fiber
    3605
  • - Scritto da: Fiber
    > - Scritto da: collione
    > > esiste un mercato nero, molto prolifico, in
    > cui
    > > si vendono e comprano exploit per falle
    > > pubblicamente
    > > ignote
    > >
    > > questo mette la parola fine ai "consigli
    > della
    > > nonna" che volevano l'utente sciocco e non
    > > avvezzo agli aggiornamenti come unica
    > vittima
    > dei
    > > malware
    > >
    > > esistono malware che sfruttano falle per cui
    > non
    > > ci sono patch, per cui è bene che chi li fa
    > quei
    > > software ( e i loro accoliti in giro per
    > forum
    > )
    > > si assuma le proprie responsabilità e la
    > smetta
    > > di accusare sempre il poveraccio che sta tra
    > la
    > > tastiera e la
    > > sedia
    >
    >
    > Alfonso Maruccia purtroppo non riporta mai la
    > notizia in forma integrale su tutto ma scrive
    > sempre e solo che esiste il malware senza
    > specificare niente in
    > riguardo
    >
    >
    > http://www.webnews.it/2011/11/02/duqu-sfrutta-un-b
    >
    > Attualmente la diffusione di Duqu è
    > ancora
    > limitata............
    > ......e di utilizzare antivirus aggiornati, molti
    > dei quali rilevano e bloccano
    > Duqu........
    > ........I due server C&C (Command&Control) in
    > Belgio e in India utilizzati per l’attacco sono
    > stati disattivati.

    >
    >
    >
    > anche ALTRI Antivirus rilevano e bloccano questa
    > variante di StuxNet malware con la protezione in
    > tempo reale del sistema fin dal 20 ottobre
    > 2011
    >
    > http://techblog.avira.com/2011/10/21/stuxnet-v2-or
    >
    >
    > ricordando che il malware per chi scarica file
    > .doc contaminati da fonti inaffidabili si esegue
    > e si installa sul sistema tramite social
    > engineering solo per chi si logga con account
    > Administrator o disabilita UAC su Windows Vista
    > e Windows 7 + sta pure senza
    > antivirus
    > --------------------------------------------------
    > Modificato dall' autore il 04 novembre 2011 10.00
    > --------------------------------------------------


    Mai stato su irc vero ? Ci sono simpatici canali russi e cinesi...
    non+autenticato
  • Fammi capire. Se questa é una variante di Stuxnet vuol dire che sfrutta la stessa vulnerabilitá ?
    Possibile che nessuno nei laboratori M$ analizzando Stuxnet si sia accorto della vulnerabilitá ?
    Ci vuole un laboratorio esterno per convincere M$ a rilasciare una patch ?
    non+autenticato
  • - Scritto da: yup
    > Fammi capire. Se questa é una variante di Stuxnet
    > vuol dire che sfrutta la stessa
    > vulnerabilitá
    > ?
    > Possibile che nessuno nei laboratori M$
    > analizzando Stuxnet si sia accorto della
    > vulnerabilitá
    > ?
    > Ci vuole un laboratorio esterno per convincere M$
    > a rilasciare una patch
    > ?


    e' solo una variante del software malevolo e basta .... malware che ora per cercar di farlo installare sul sistema viene incapsulato dentro ad un file Word exploit ( social engineering) = documento con estensione .doc che invece è appunto un exploit autoinstallante che sfrutta quella vulnerabilità ( come fosse un file installer .exe).... exploit che del resto per eseguirsi sftruttando quella vulnerabilità (per poi far andare a buon fine l'install del malware sul sistema)    non viene nemmeno specificato se bypassa anche DEP + ALSR anti heap & buffer overflow

    non viene specificata una fava come sempre Rotola dal ridere
    -----------------------------------------------------------
    Modificato dall' autore il 04 novembre 2011 11.28
    -----------------------------------------------------------
    Fiber
    3605
  • > Alfonso Maruccia purtroppo non riporta mai la
    > notizia in forma integrale su tutto ma scrive
    > sempre e solo che esiste il malware senza
    > specificare niente in riguardo

    per 30 euro lordi a notizia, dovrebbe pure stare li' ad apporfondire? Copia&incolla e vai, senza pensarci troppo.
    non+autenticato
  • Ma perché non fate una sezione dedicata ai malware per Win?
    Ciao
    non+autenticato
  • no.. sarebbe intasata più di quella sulle apple-news...
  • - Scritto da: Fai il login o Registrati
    > Ma perché non fate una sezione dedicata ai
    > malware per
    > Win?
    > Ciao

    Perche' il loro host dispone solo di 1000 tera di spazio.