Duqu utilise une faille inconnue du noyau de Windows

Des chercheurs du laboratoire de recherche en cryptographie et sécurité des systèmes informatique de l’université de Budapest, en Hongrie, le Crysys, ont mis la main sur un installateur du logiciel malveillant Duqu, repéré précédemment par Symantec, après avoir été alerté par ce même laboratoire. 

L’analyse de l’installateur - un document Word - révèle l’utilisation d’un «exploit d’une faille 0-day du noyau» de Windows. Et les chercheurs d’indiquer avoir contacté l’éditeur pour lui fournir les informations nécessaires à la correction de la faille. L’analyse confirme en outre la précision quasiment chirurgicale de l’opération d’infection : le code d’installation était conçu pour ne fonctionner que durant une fenêtre de huit jours courant août, souligne de son côté Symantec qui précise par ailleurs que d’autres vecteurs d’infection ont peut-être été utilisés. Une fois installé sur une machine contaminée, Duqu se propage sur le réseau via les partages réseau utilisant le protocole SMB. Les chercheurs précisent en outre que les configurations les plus récentes de Duqu sont capables d’aller infecter les zones les plus sécurisées d’une infrastructure et, ensuite, de communiquer avec leur centre de contrôle à distance via d’autres machines infectées, utilisées alors comme serveur mandataire (proxy). 

Pour l’heure, la contagion serait limitée mais Symantec évoque six organisations potentiellement contaminées, dont une représentée en France, aux Pays-Bas, en Suisse et en Ukraine. Rappelons que l’éditeur estime que Duqu pourrait viser des équipementiers Scada. De son côté, McAfee penche plutôt pour des attaques visant des autorités de certification.