Stuxnet-Nachfolger nutzt Zero-Day in Windows Kernel

Der neu aufgetauchte Schädling DuQu, der gewisse Parallelen zu Stuxnet aufweist, nutzt unter anderem ein bislang unbekanntes Leck im Windows-Kernel.

Über das Zero-Day-Leck im Windows-Kernel und über modifizierte Word-Dokumente befällt DuQu Systeme, wie Kevin Haley, Direktor von Symantec Security Response, mitteilt.

Auch das ungarische Sicherheitsunternehmen Cryptography and System Security (CrySyS) berichtet auf seiner Webseite mit wenigen Worten von dem Leck.

Ein Microsoft-Sprecher erklärte, dass der Softwarehersteller über das Problem informiert sei. “Wir arbeiten mit unseren Partnern zusammen, um Schutz für eine Schwachstelle bereitstellen zu können, die für zielgerichtete Angriffe auf Computer mit der DuQu-Malware benutzt wird.” Microsoft arbeite bereits an einer Lösung für das Problem. Unklar ist, ob das Update Bestandteil des November-Patchdays am kommenden Dienstag sein wird.

Die meisten Antivirenprogramme seien inzwischen in der Lage, DuQu zu erkennen und zu blockieren, teilte Symantec mit. Bis zur Behebung des Problems durch Microsoft, sollten Unternehmen Word-Dokumente aus unbekannten Quellen nicht öffnen. Die von dem Sicherheitsunternehmen aufgespürte Word-Datei sei jedoch nur für ein bestimmtes Unternehmen zusammengestellt worden. Außerdem habe der Schadcode in diesem Fall Rechner nur während eines Zeitraums von acht Tagen im August infizieren können.

Zahlen zur Verbreitung von DuQu nannte Symantec nicht; das Unternehmen nennt die Verbreitung jedoch nicht sonderlich hoch. Es seien dennoch inzwischen Infektionen in sechs Organisationen in acht Ländern bekannt: in Frankreich, den Niederlanden, der Schweiz, der Ukraine, dem Iran, dem Sudan und Vietnam. In einigen Fällen habe man den Trojaner zu einem Internet Service Provider zurückverfolgen können. Die tatsächliche Herkunft des Schädlings sei aber unbekannt. Andere Sicherheitsfirmen wollen den hochentwickelten Schadcode auch in Österreich, Ungarn, Indonesien und Großbritannien gefunden haben.

Die Verbreitung von DuQu nach Ländern. Quelle: Symantec
Die Verbreitung von DuQu nach Ländern. Quelle: Symantec

Innerhalb eines Unternehmens kann sich DuQu über Netzwerkfreigaben verbreiten und darüber auch Rechner erreichen, die nicht mit dem Internet verbunden sind, sagte Haley. Zudem habe sich gezeigt, dass die Malware Befehle von Servern in Indien und Belgien erhalte. “Das Geheimnis, wie die Schad-Software auf die Rechner kommt, wurde damit gelöst. Zumindest in diesem Fall.” Ziel von DuQu sei es, Daten zu sammeln. “Wir wissen aber immer noch nicht, wozu sie die Informationen verwenden werden.”

Die Autoren von DuQu hatten Symantec zufolge offensichtlich Zugriff auf den Quellcode von Stuxnet. Während Stuxnet aber Industriekontrollsysteme (Scada) von Siemens ins Visier nahm und damit scheinbar das Kernforschungsprogramm des Iran sabotieren wollte, installiert DuQu auf Windows-Systemen eine Hintertür und sammelt Dokumente wie Konstruktionspläne. Er sei wohl nicht dafür gedacht, den Betrieb von Industrieanlagen zu stören, heißt es.