![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.png){kind=icon}
![[quick]](http://tweakimg.net/g/if/icons/world_link_cropped.png){kind=icon}
Symantec heeft een 0day-exploit in vrijwel alle Windows-versies ontdekt dat werd misbruikt door de malware Duqu. Deze Stuxnet-achtige trojan is mogelijk ingezet om te spioneren bij een toeleverancier van het leger die ook actief is in Nederland.
De trojan blijkt misbruik te maken van een nog niet eerder ontdekt lek in Windows dat nagenoeg alle versies van het besturingssysteem treft. Microsoft bevestigt het probleem en zegt binnenkort met een oplossing te komen, die wellicht nog voor de maandelijkse patchronde wordt verspreid. Die patchronde vindt aanstaande dinsdag al plaats, wat aangeeft hoe serieus het beveiligingslek in Windows wordt geacht. In de tussentijd is er een tijdelijke workaround.
Volgens Symantec is het aantal bevestigde besmettingen met Duqu-malware nog beperkt, maar hebben de onderzoekers wel besmettingen in een aantal landen waargenomen, waaronder Nederland. In totaal heeft Symantec bevestigde infecties in acht landen ontdekt. Naast Nederland zijn er ook bevestigde besmettingen gevonden in Frankrijk, Zwitserland, Oekraïne, Iran, Sudan en Vietnam.
Tevens zijn er meldingen van infecties in Hongarije, Indonesië en het Verenigd Koninkrijk. Opvallend is dat deze besmettingen zich lijken te beperken tot zes bedrijfsnetwerken, waarbij Symantec aangeeft dat het niet om zes aparte bedrijven hoeft te gaan. De onderzoekers zeggen niet op basis van de ontdekte ip-adressen te kunnen vaststellen om welk bedrijf of welke bedrijven het gaat.
Saillant detail is dat Symantec zijn ontdekking bekendmaakt nog geen week na een aanval op het bedrijf Acal BFI, een grote Europese toeleverancier van het leger. Acal BFi is actief in veel van de door Symantec bevestigde landen. Eerder al berichtte Tweakers.net over dit bedrijf toen bleek dat hackers eerder mogelijk een succesvolle aanval hebben uitgevoerd op dit bedrijf. De aanvallers verkregen toegang tot het extranet en stuurden mails naar medewerkers, die mogelijk malware bevatten.
Deze werkwijze lijkt aan te sluiten bij de manier hoe de Duqu-malware is verspreid. Symantec zegt te hebben ontdekt hoe de Duqu-malware in één geval is verspreid: aanvallers verspreidden een Word-document waarin malafide code zat verstopt.
Deze code maakt gebruik van een tot nu toe onbekend beveiligingslek in de manier waarop Windows TrueType-fonts verwerkt, dat een aanvaller in staat stelt code op kernel-niveau uit te voeren. De kwetsbaarheid kan waarschijnlijk ook in andere programma’s dan Word worden misbruikt; mogelijk zelfs op websites. Het is niet duidelijk of de Word-methode ook in andere gevallen is toegepast. De Windows Server-versie zonder gui is niet getroffen door het beveiligingsprobleem, omdat die geen fonts hoeft te parsen.
Als slachtoffers via het Word-document waren besmet, communiceerde de besmette computer via peer-to-peer met commandoservers van de aanvallers. In ieder geval een van die servers zou in België hebben gestaan. De Duqu-malware werd medio oktober al door Symantec ontdekt, maar de malware lijkt hiermee geavanceerder dan bij de ontdekking werd aangenomen.
 10:10 |
Onderzoekers kraken captcha's van grote sites |
 08:25 |
Ubisoft onthult Tom Clancy's Rainbow 6: Patriots |
Door 
); ik ken helaas weinig mensen die hun goedbetaalde, uitdagende en gevarieerde job willen inruilen voor een overheidsfunctie waarbij snijden in budgetten de komende jaren waarschijnlijk schering en inslag zal zijn, er dus weinig ruimte zou kunnen zijn voor innovatie... 
Stap 1 bij oorlogsvoering, het verzamelen van informatie ![[show]](http://tweakimg.net/g/if/comments/button_down.png "Reactie uitklappen")
