Nuove informazioni provenienti dai ricercatori di sicurezza europei contribuiscono a diradare ulteriormente il mistero Duqu : il malware derivato da Stuxnet e potenzialmente foriero di nuovi attacchi a infrastrutture e organizzazioni industriali sfrutta una vulnerabilità zero-day presente nel kernel di Windows, dicono i ricercatori.
Per l’installazione sul sistema, Duqu “passa” attraverso un file Word apparentemente legittimo, dicono gli esperti del Laboratorio di Cifratura e Sicurezza dei Sistemi dell’Università di Budapest (CrySyS): il codice shell del malware va in esecuzione appena l’ignaro utente apre il file, permettendo a Duqu di prendere il controllo del sistema installando i suoi componenti – file DLL e driver di sistema.
A ulteriore conferma del fatto che Duqu sia un esperimento condotto per ottenere informazioni da usare in attacchi successivi, gli esperti del CrySyS hanno scoperto che l’installazione del malware attraverso la vulnerabilità zero-day di Windows era programmata per essere eseguita solo in un periodo di otto giorni nello scorso agosto.
I ricercatori del CrySyS hanno già provveduto a informare Microsoft delle nuove scoperte in merito a Duqu, ma a quanto pare Redmond non farà in tempo a chiudere la falla zero-day in tempo per il prossimo “patch day” (8 novembre). Si prospetta la distribuzione di una patch fuori ciclo con carattere di urgenza?
Alfonso Maruccia