本周四晚些时候,微软发布了一个安全公告,针对与Duqu木马有关的Windows零日漏洞,但微软表示,在下周的补丁星期二中尚未准备好发布Duqu零日补丁。
在公告中,微软表示正在对Windows组件——Win32k TrueType字体解析引擎(font parsing engine)中的漏洞进行调查。据微软称,如果成功利用了该漏洞,则允许攻击者在内核模式下运行任意代码,然后安装程序、更改或删除数据,或创建拥有完全用户权限??的新帐户。一旦攻击成功,受害者必须打开电子邮件附件。
“我们知道目标性攻击试图利用已报道的漏洞,但这次我们看到很少有用户受到影响。”微软说道。
公告为Duqu漏洞提供了一个解决方法,影响几乎所有支持的Windows版本。微软发布了一个“修复它”程序,为该解决方案提供简单的下载。
在一篇博客文章中,微软可信计算的响应通讯小组经理Jerry Bryant表示,微软的工程团队已经确定了漏洞的根本原因,并正在“开发一个高质量的安全更新来解决它。”但他也补充道,微软这个月无法发布该更新,具体发布时间也不确定。
微软还表示,其为积极保护计划(Active Protections Program)伙伴提供了在他们安全产品中建立检测的细节。根据微软,反恶意软件厂商将很快发布新的签名,他们鼓励客户确定更新他们的防病毒保护。
本周早些时候,安全研究人员说他们检测到了一个Duqu安装,它利用一个Windows内核级的零日漏洞,通过一份恶意伪造的Word文档,来安装Duqu病毒文件。
据安全研究人员表示,Duqu木马包含了一些用于Stuxnet木马的相同源代码,目的是破坏工业生产过程。Duqu显示是针对工业设备制造商,为了收集有关他们系统和其他专有数据的信息。据赛门铁克公司,被证实受到Duqu感染的机器数量有限,但同时也证实该攻击在八个国家被发现,包括印度和伊朗。
当天早些时候,安全研究人员表示,他们不期望微软在2011年11月的补丁星期二中发布解决与Duqu相关的零日漏洞更新,因为修复内核级的漏洞是很复杂的。
在微软发布的的11月补丁星期二提前公告中,微软计划在11月8日发布四个安全公告,修复四个Windows漏洞,其中只有一个被定为严重(危急)级别,两个为重要级别,还有一个为中等级别。
【编辑推荐】