Det har nå gått tre uker siden Duqu-trojaneren ble oppdaget. Det er en ny trussel som sikkerhetsekspert setter i sammenheng med den avanserte industrisabotasje-ormen Stuxnet.
Først denne uken ble det kjent hvordan Duqu smetter inn og infiserer datamaskiner. Forskere ved CrySyS i Ungarn fant et eksempel på trojanerens installasjonsmekanisme, skjult som ondsinnet kode i et Word-dokument.
Koden utnyttet en tidligere ukjent sårbarhet i Windows-kjernen, som har fungert som døråpner og angrepsvektor.
Fulle rettigheter
Microsoft skal nå ha funnet sårbarheten. Den ligger i hvordan Windows håndterer TrueType-fonter, ifølge en sikkerhetsmelding utgitt torsdag.
- Utnyttelse av hullet gir angriper anledning til å installere programmer; vise, endre eller slette data eller opprette nye brukerkontoer med administrative rettigheter, skriver selskapet.
Mer alvorlig kan en sårbarhet knapt bli. Microsoft erkjenner at hullet utnyttes av Duqu-trojaneren i målrettede angrep.
Men fordi spredningen er begrenset (trojaneren sprer seg ikke selv, slik eksempelvis dataormen Stuxnet gjorde), oppfatter Microsoft at få kunder er berørt så langt.
Det er uklart når sikkerhetsoppdateringen som fjerner sårbarheten er klar. Hullet berører nær sagt alle relevante Windows-versjoner.
Ifølge sikkerhetsselskapet Sophos er det tvilsomt om Microsoft rekker deadline for utrulling av fiksen innen «patche-tirsdag» kommende uke. Som kjent utgir selskapet sikkerhetsoppdateringer fast hver andre tisdag i måneden.
Strakstiltak
I mellomtiden har Microsoft kommet opp med en midlertidig nødløsning. Det dreier seg om et FixIt-verktøy som skrur av støtten for inkluderte TrueType-fonter i programmer.
Men som Sophos skriver er ikke dette spesielt hensiktsmessig. Mange applikasjoner er avhengig av slik font-støtte for å fungere skikkelig. Det inkluderer blant annet Microsoft Office-dokumenter og nettlesere.
Les også:
- [20.03.2012] «Mystisk» Duqu-språk identifisert
- [01.12.2011] Duqu etterlot mystiske spor
- [11.11.2011] Slik oppdager du Duqu
- [02.11.2011] Duqu-trojaneren lå gjemt i Word
- [19.10.2011] Frykter de har funnet «Stuxnet 2»