「Stuxnet」直系である「Duqu」のゼロデイ攻撃が判明 - 未修正のWindows脆弱性を悪用

「Stuxnet」のソースコードを含み、機密情報窃取を目的とするマルウェア「Duqu」が発見された問題で、感染にWindowsの未修正の脆弱性を悪用するゼロデイ攻撃であることがあらたに判明した。

シマンテックとブダペスト工科経済大学の電気通信部門に所属するLaboratory of Cryptography and System Security（CrySyS）の分析により明らかになったもの。

これまで「Duqu」のインストーラが復元できなかったため、感染経路が判明していなかったが、CrySySがインストーラの復元に成功、侵入のプロセスが判明した。

Symantecによれば、インストーラーはWordのdocファイルで、Windowsカーネルに存在する未解決の脆弱性を悪用し、バイナリをインストールするという。見つかったWordファイルは、特定の組織を標的としており、8月中の8日間だけインストールされるよう設定されていた。

（Security NEXT - 2011/11/02 ） ツイート

PR

関連記事

第2の「Stuxnet」がさらに進化、「Duqu 2.0」見つかる - イラン核協議の諜報目的か
中東狙う高度なマルウェア「Flamer」見つかる - コードの複雑さは「Stuxnet」や「Duqu」に匹敵
「Duqu」が狙った脆弱性、別の複数プログラムから見つかる - MSが月例パッチで修正
パッチ提供前の脆弱性保護を実現するMSのパートナープログラム - 96時間以内に対応した企業名も公表
今のところ「Duqu」は限定的 - 修正パッチ公開後は攻撃に警戒を
MS、予定より1件少ない月例パッチ13件を公開 - 優先度高いプログラムは2件
MS、12月の月例パッチは14件 - 「Duqu」が悪用する脆弱性も修正予定
リムーバブルメディア経由のマルウェア感染に引き続き注意必要 - マカフィーレポート
Duquは主要セキュリティ対策ソフトで対応可能 - 脆弱性パッチは品質重視で開発中
MS、「Duqu」対策で「Fix it」を緊急提供 - パッチは開発中、月例には含まれず