Microsoft brengt noodpatch uit voor Duqu kernelgat

Status
Niet open voor verdere reacties.

Quit

Steunend lid
Vip Lid
Microsoft brengt een noodpatch uit om een zero day gat in de Windows kernel te repareren dat misbruikt wordt door Duqu-malware.
Ook Nederlanders worden getroffen door deze malware.

Duqu maakt gebruik van een zero day gat in de Windows kernel om zich te installeren op computers, zo bleek eerder deze week.
Een serieus Windows-lek omdat de aanvaller op afstand programma's kan installeren maar ook data kan bekijken, veranderen of verwijderen. Daarnaast is het mogelijk om nieuwe accounts aan te maken met volledige gebruikersrechten.

Workaround

Microsoft brengt een noodpatch uit. "We zijn op de hoogte van de gerichte aanvallen die deze gerapporteerde kwetsbaarheid proberen te misbruiken", bericht
Microsoft in een Security Advisory. Een definitieve patch wordt al dan niet via een Patch Tuesday update uitgebracht. Zekerheid daarover kan Microsoft niet geven.

Wel wordt er een workaround gesuggereerd waarmee de huidige aanval wordt afgestopt maar het gat niet gedicht. Deze tijdelijke oplossing kan automatisch uitgevoerd worden via Microsoft Fix it of door verschillende regels in te voeren via de command prompt.

De tijdelijke oplossing is beschikbaar voor Windows XP, Windows Server 2003​, Windows Vista, Windows 7, Windows Server 2008, en Windows Server 2008 R2. Door gebruik te maken van deze workaround kan het wel zijn dat bepaalde lettertypes niet goed worden weergegeven in de browser, waarschuwt Microsoft.

Ook Nederlanders besmet

De Duqu Trojan gebruikt een aangepast Word-document om het gat in de Windows kernel te misbruiken. De Trojan werd in eerste instantie via een command & control (C&C) server in India verspreid.
Die server werd offline gehaald waarna de operatie zich verplaatste naar een server in België.
Ook die server is inmiddels offline, bericht beveiligingsfirma Symantec.

Ook in Nederland zijn er computers besmet met Duqu-malware, zo blijkt uit gegevens van Symantec.
De totale impact is op dit moment nog onduidelijk. Verdere besmettingen zijn waargenomen in Frankrijk, Zwitserland, de Oekraïne, India, Sudan, Iran en Vietnam. Verder bestaat het vermoeden dat er ook infecties zijn in Hongarije, Indonesië en in Groot-Brittannië, maar die zijn nog niet bevestigd.

Symantec heeft een uitgebreide whitepaper (pdf) gepubliceerd over de Duqu-malware.

duqu.png

De besmettingshaarden volgens Symantec


Bron: Webwereld
 
Na het installeren van deze "fix" Microsoft Security Advisory: Vulnerability in TrueType font parsing could allow elevation of privileges werden de beveiligingsupdates voor Windows XP niet meer geïnstalleerd. Alle andere updates wel.
Bij de beveiligingsupdates kreeg ik de melding dat deze geïnstalleerd waren, maar enkele seconden later verscheen in het systemtray het update-icoontje van Windows terug en werd er gevraagd om de beveiligingsupdates (KB972270 en KB982132) te downloaden en te installeren. Terug gedownload en geïnstalleerd, alles ok, maar enkele seconden later verscheen het icoontje opnieuw... en opnieuw... en opnieuw...
Ik heb toen die "fix" verwijderd en de beveiligingsupdates terug geïnstalleerd. Sindsdien geen probleem meer.
 
Bedankt voor het melden.

Het is een beveilingspatch uitgebracht door Microsoft.
Pctuts neemt hiervoor geen enkele verantwoordelijkheid
 
Status
Niet open voor verdere reacties.
Terug
Bovenaan