Esta semana se ha vuelto a hablar de esta amenaza que apareció el último mes y ha causado muchos comentarios en Internet. Esto se debe, mayoritariamente, al hecho de que muchos medios han vinculado Duqu fuertemente con Stuxnet, el famoso código malicioso que atacaba los equipamientos SCADA de Siemens y que causó estragos en muchos países, atacando desde sistemas industriales hasta plantas nucleares.
Según el Laboratorio de Criptografía y Sistemas de Seguridad de Budapest, Hungría (CrySyS); Duqu está explotando una vulnerabilidad 0-day en el kernel de Windows. Dicha vulnerabilidad ya ha sido reportada a Microsoft por parte del laboratorio de seguridad húngaro. Por su lado, Microsoft alegó estar en este momento trabajando para poder localizar y corregir el problema.
Al analizar las comparaciones realizadas entre Duqu y Stuxnet podemos apreciar que, si bien Duqu es un código malicioso que posee características similares a Stuxnet, como por ejemplo la utilización de certificados digitales y, además que ambas amenazas comparten algunas porciones de código; esta información no es suficiente para afirmar que Duqu es el sucesor del primero. Muchas de las complejas características que se vieron en las variantes de Stuxnet, como las instrucciones para atacar plantas industriales y específicamente sistemas SCADA, no fueron detectadas en Duqu. Eso no quita, sin embargo, que en un futuro esta amenaza pueda evolucionar, volverse más compleja y, por ende, desarrollar características más peligrosas.
Duqu es un código malicioso y representa una amenaza, por lo tanto el usuario debe mantenerse protegido para no ser una eventual víctima, sin embargo no nos parece adecuado alarmar a la sociedad y generar un escenario de inestabilidad con noticias afectadas por cierto grado de especulación que solo llevarían al usuario a un estado de incertidumbre y no de precaución. Si el escenario cambia, entonces lo haremos nosotros también, informando inmediatamente a la comunidad sobre el nuevo paradigma de infección y cómo protegerse al respecto.
Dada la criticidad de esta vulnerabilidad, no nos sorprendería ver un boletín de seguridad antes del próximo martes 9 de noviembre. Recordemos que Microsoft emite todos los segundos martes de cada mes su boletín de seguridad, acorde a su política de publicación de parches con actualizaciones para sus sistemas. Hasta ahora, la firma solo ha salteado la política cuando debe emitir parches de seguridad sobre vulnerabilidades que se encuentran fuertemente explotadas por los atacantes.
Actualización 04/11
La vulnerabilidad o-day utilizada por esta amenaza, la cual afecta todos los sistemas Windows, inclusive Windows 7 y Windows Server 2008, ha sido tratada temporalmente por Microsoft el día de ayer a través de la publicación de un Fix-it que deniega el acceso a la T2EMBED.DLL afectada. Mientras que no sale la solución definitiva recordamos a todos los usuarios que al mantener su base de firmas actualizada estarán evitando la infección.
Raphael Labaca Castro
Especialista en Awareness & Research
