マルウェア「Duqu」の侵入経路が明らかに

Jubilee 曰く、　日本は標的になっていないのであまり話題になっていないが、第2のStuxnetことマルウェア「Duqu」の侵入経路が明らかになった(マイクロソフト セキュリティ アドバイザリ、Symantec Official Blogの記事、本家/.)。

MicrosoftはDuquがWindowsのゼロデイ脆弱性を突いていることを11月1日に認めていたが、詳細は明らかにされていなかった。4日付で公開されたセキュリティアドバイザリ(2639658)によると、Win32k TrueTypeフォント解析エンジンの脆弱性により特権が昇格されるというものだという。Server CoreインストールのWindows Server 2008/2008 R2を除き、Windows XP以降すべてのバージョンのWindowsが影響を受ける。ハンガリーのセキュリティ企業CrySys Labが復元したDuquのドロッパーの1つはWordドキュメントで、メールに添付されたファイルを開くことで上記のゼロデイ脆弱性を利用してDuquがインストールされるものだ。このドロッパーは現在唯一確認されているもので、他のファイル形式のドロッパーが存在する可能性もあるとのこと。

現在Microsoftはこの脆弱性について調査中とのことで、9日の定期更新には間に合わないようだ。ただし、現時点では高いリスクをもたらすものではないとのこと。なお、セキュリティアドバイザリでは脆弱性のあるファイル「T2EMBED.DLL」のアクセスを拒否する手順が紹介されている。また、多くのセキュリティソフトでは既にDuquのファイル本体を検出可能となっている。

　個人的に困っているのは、その名前のせいでドゥークー伯爵を思い出してしまって、羽佐間道夫つながりでQが出てきて脳内で高笑いをやめないこと。どうしたもんでしょう。

　スラッシュドットのコメントを読む | セキュリティ | マイクロソフト | mainpage | 情報漏洩 | ワーム

　関連ストーリー：
Stuxnet のソースが Anonymous の手に 2011年02月17日
ウラン濃縮装置を攻撃したコンピューターウイルス、イスラエルと米国が共同開発した疑い 2011年01月17日
イランの遠心分離機がサイバー攻撃を受けていた 2010年12月01日
Stuxnet ワーム、感染拡大中 2010年10月08日
Windows の全バージョンに危険な脆弱性が見つかる 2010年07月26日