Duqu: Gefährliche 0-Day Sicherheitslücke in Windows

Der Trojaner Duqu nutzt eine bisher unbekannte Sicherheitslücke im Windows-Kernel, welche die Ausführung von Remote Code ermöglicht.
Microsoft untersucht die Schwachstelle aktuell, ein Patch im Rahmen des Patchday am 8. November ist aktuell aber unwahrscheinlich.
Symantec warnt davor, dass Duqu ebenso gefährlich werden könnte wie der Trojaner Stuxnet. Duqu scheint von den selben Programmierern zu stammen, zumindest sind weite Teile des Sourcecodes identisch, so ein Symantec-Sprecher.

In den bisher bekannt gewordenen Fällen war ein manipuliertes Word-Dokument als Infektionsquelle verwendet worden. Der in der Datei versteckte Code installierte unter Ausnutzung der Sicherheitslücke im Windows Kernel den eigentlichen Trojaner.
Duqu kann Tastatureingaben abfangen und den gesamten Netzwerkverkehr der infizierten Maschine aufzeichnen.
36 Tage nach seiner Aktivierung entfernt sich der Trojaner dann von selbst.

Laut Symantec wurde Duqu für gezielte Angriffe auf Firmen und Organisationen konzipiert. Die Signaturen nahezu aller auf dem Markt befindlichen Antivirenprogramme erkennen Duqu bereits und sind in der Lage, den Schädling zu eliminieren.

Microsoft hat die Sicherheitslücke bestätigt und einen Patch im Rahmen der turnusmäßigen Security Bulletin Veröffentlichungen in Aussicht gestellt. Dass dies bereits im November geschieht, erscheint allerdings unwahrscheinlich.
Es ist vielmehr zu erwarten, dass Microsoft vorerst ein so genanntes "Security Advisory" heraus gibt, indem erklärt wird, wie man sich am besten vor der Bedrohung schützen kann.

Da war Microsoft aber schnell. Michael Kranawetter, Chief Securtiy Advisor bei Microsoft Deutschland, hat gestern in seinem Blog den folgenden Beitrag veröffentlicht:

Microsoft hat den Sicherheitshinweis 2639658 veröffentlicht. Das zum Advisory gehörende Update schließt die Lücke, durch die sich die Schadsoftware Duqu verbreitet. Die Lücke war in der Parsing-Engine für Win32k-TrueType-Schriften zu finden. Würde ein Angreifer die Schwachstelle erfolgreich ausnutzen, könnte er beliebigen Code im Kernel-Mode ausführen lassen. Dies kann zur Installation von Software oder dem Anzeigen, Ändern oder Löschen von Daten missbraucht werden.

Microsoft untersucht die Schwachstelle weiterhin und wird unter Umständen im Rahmen des monatlichen Updatezyklus ein Sicherheitsbulletin veröffentlichen. Obwohl Duqu nur in sehr gezielten Fällen eingesetzt wird und wir weiterhin nicht davon ausgehen, dass es zu einer massenhaften Infektion kommt, sollten dennoch alle Kunden das FixIt herunterladen und installieren.

Hier ist ein Fix it zu finden:
Microsoft Security Advisory: Vulnerability in TrueType font parsing could allow elevation of privileges
das ein später folgendes Update zum Schließen der Sicherheitslücke aber nicht ersetzt. Es ist nur eine erste Maßnahme vor dem regulären Update.