Duqu-Trojaner nutzt Zero-Day-Lücke in Windows aus

Symantec hat eine Zero-Day-Lücke im Windows-Kernel entdeckt. Sie wird von dem mit Stuxnet verwandten Spionage-Trojaner Duqu verwendet, um Systeme zu infizieren. Laut Kevin Haley, Direktor von Symantec Security Response, kommt dabei ein Word-Dokument zum Einsatz, das die neu entdeckte Anfälligkeit ausnutzt.

Laut Microsoft-Sprecher Jerry Bryant ist der Softwarekonzern über das Problem informiert. „Wir arbeiten mit unseren Partnern zusammen, um Schutz für eine Schwachstelle bereitstellen zu können, die für zielgerichtete Angriffe auf Computer mit der Duqu-Malware benutzt wird.“ Ein Patch, der das Loch stopfen soll, sei schon in Arbeit. Unklar ist, ob das Update Bestandteil des November-Patchdays am kommenden Dienstag sein wird.

Die meisten Antivirenprogramme seien inzwischen in der Lage, Duqu zu erkennen und zu blockieren, teilte Symantec mit. Bis Microsoft ein Update herausbringe, sollten Firmen Word-Dokumente aus unbekannten Quellen nicht öffnen. Die gefundene Word-Datei sei für ein bestimmtes Unternehmen zusammengestellt worden. Außerdem habe sie Rechner nur während eines Zeitraums von acht Tagen im August infizieren können.

Zahlen zur Verbreitung von Duqu nannte Symantec nicht. Es seien aber Infektionen in sechs Organisationen in acht Ländern bekannt: in Frankreich, den Niederlanden, der Schweiz, der Ukraine, dem Iran, dem Sudan und Vietnam. In einigen Fällen habe man den Trojaner zu einem Internet Service Provider zurückverfolgen können. Seine eigentliche Herkunft sei aber unbekannt. Andere Sicherheitsfirmen wollen den Schädling auch in Österreich, Ungarn, Indonesien und Großbritannien gefunden haben.

Innerhalb eines Unternehmens kann sich Duqu über Netzwerkfreigaben verbreiten und darüber auch Rechner erreichen, die nicht mit dem Internet verbunden sind, sagte Haley. Zudem habe man herausgefunden, dass die Malware ihre Befehle von Servern in Indien und Belgien erhalte. „Das erste Geheimnis – wie kommt es auf die Rechner – wurde gelöst, zumindest für eine Methode.“ Ziel von Duqu sei es, Daten zu sammeln. „Wir wissen aber immer noch nicht, wozu sie die Informationen verwenden werden.“

Die Autoren von Duqu hatten Symantec zufolge offensichtlich Zugriff auf den Quellcode von Stuxnet. Während Stuxnet aber Industriekontrollsysteme (Scada) von Siemens ins Visier nahm und damit anscheinend das Kernforschungsprogramm des Iran sabotieren wollte, installiert Duqu auf Windows-Systemen eine Hintertür und sammelt Dokumente wie Konstruktionspläne. Er sei wohl nicht dafür gedacht, den Betrieb von Industrieanlagen zu stören, heißt es.

Symantec hat mit Duqu infizierte Rechner unter anderem in Frankreich, den Niederlanden, der Schweiz und Indien gefunden. Vermutet wird der Schädling auch in Großbritannien, Österreich und Ungarn (Bild: Symantec).