Duqu sfrutta una vulnerabilità insita nel kernel di Windows

Nei giorni scorsi si era diffusa la notizia della scoperta di “Duqu“, un nuovo worm concepito con lo scopo di attaccare i sistemi industriali che presenta molte affinità con il precedente “Stuxnet” (ved. questo nostro articolo).
Microsoft, da parte sua, ha appena confermato l’analisi tecnica elaborata da CrySyS, il laboratorio di crittografia e sicurezza informatica dell’Università di Budapest: secondo la scoperta degli studiosi ungheresi “Duqu” si diffonderebbe sfruttando una vulnerabilità “zero day“, quindi ancora irrisolta, presente nel kernel di Windows.

I ricercatori di CrySyS hanno evidenziato il comportamento del worm “Duqu” ponendone sotto la lente il dropper ossia il componente creato per installare il malware sul sistema dell’utente. Attualmente “Duqu” si diffonde presentandosi sotto forma di un normale documento in formato Word: in realtà tale elemento viene sfruttato come testa di ponte per “iniettare” il codice nocivo sulla macchina della vittima facendo leva, appunto, su una vulnerabilità del kernel del sistema operativo.

Microsoft sarebbe già al lavoro sullo sviluppo di una patch risolutiva.

Fino ad oggi, “Duqu” sarebbe stato utilizzato solo per condurre attacchi mirati nei confronti di singole realtà aziendali. Le aggressioni, stando a quanto riferito da Symantec, si sarebbero per ora concentrate nel corso del mese di agosto ed avrebbero interessato i sistemi informatici di sei aziende in Francia, Olanda, Svizzera, Ucraina, India, Iran, Sudan e Vietnam. Successivamente, campioni del malware sono stati individuati presso aziende con sede nel Regno Unito, in Austria ed in Indonesia.