Symantec hat eine Zero-Day-Lücke im Windows-Kernel entdeckt. Sie wird von dem mit Stuxnet verwandten Spionage-Trojaner Duqu verwendet, um Systeme zu infizieren. Laut Kevin Haley, Direktor von Symantec Security Response, kommt dabei ein Word-Dokument zum Einsatz, das die neu entdeckte Anfälligkeit ausnutzt.
Laut Microsoft-Sprecher Jerry Bryant ist der Softwarekonzern über das Problem informiert. „Wir arbeiten mit unseren Partnern zusammen, um Schutz für eine Schwachstelle bereitstellen zu können, die für zielgerichtete Angriffe auf Computer mit der Duqu-Malware benutzt wird.“ Ein Patch, der das Loch stopfen soll, sei schon in Arbeit. Unklar ist, ob das Update Bestandteil des November-Patchdays am kommenden Dienstag sein wird.
Die meisten Antivirenprogramme seien inzwischen in der Lage, Duqu zu erkennen und zu blockieren, teilte Symantec mit. Bis Microsoft ein Update herausbringe, sollten Firmen Word-Dokumente aus unbekannten Quellen nicht öffnen. Die gefundene Word-Datei sei für ein bestimmtes Unternehmen zusammengestellt worden. Außerdem habe sie Rechner nur während eines Zeitraums von acht Tagen im August infizieren können.
Zahlen zur Verbreitung von Duqu nannte Symantec nicht. Es seien aber Infektionen in sechs Organisationen in acht Ländern bekannt: in Frankreich, den Niederlanden, der Schweiz, der Ukraine, dem Iran, dem Sudan und Vietnam. In einigen Fällen habe man den Trojaner zu einem Internet Service Provider zurückverfolgen können. Seine eigentliche Herkunft sei aber unbekannt. Andere Sicherheitsfirmen wollen den Schädling auch in Österreich, Ungarn, Indonesien und Großbritannien gefunden haben.
Innerhalb eines Unternehmens kann sich Duqu über Netzwerkfreigaben verbreiten und darüber auch Rechner erreichen, die nicht mit dem Internet verbunden sind, sagte Haley. Zudem habe man herausgefunden, dass die Malware ihre Befehle von Servern in Indien und Belgien erhalte. „Das erste Geheimnis – wie kommt es auf die Rechner – wurde gelöst, zumindest für eine Methode.“ Ziel von Duqu sei es, Daten zu sammeln. „Wir wissen aber immer noch nicht, wozu sie die Informationen verwenden werden.“
Die Autoren von Duqu hatten Symantec zufolge offensichtlich Zugriff auf den Quellcode von Stuxnet. Während Stuxnet aber Industriekontrollsysteme (Scada) von Siemens ins Visier nahm und damit anscheinend das Kernforschungsprogramm des Iran sabotieren wollte, installiert Duqu auf Windows-Systemen eine Hintertür und sammelt Dokumente wie Konstruktionspläne. Er sei wohl nicht dafür gedacht, den Betrieb von Industrieanlagen zu stören, heißt es.
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.