Duqu is een variant van het vorig jaar de kop opstekende virus Stuxnet. Het verspreidt zich via Word-documenten die als bijlage via e-mail verstuurd worden. Duqu maakt gebruik van een lek in de Win32k True Type font parsing engine, zo schrijft Microsoft in een veiligheidsbulletin. Dit lek treft elke versie van Windows vanaf XP tot Windows 7.

Een aanvaller die deze kwetsbaarheid succesvol weet te gebruiken, kan elke code in kernelmodus laten uitvoeren. Zo wordt het mogelijk om programm’s te installeren, data te bekijken of te wijzigen en zelfs nieuwe accounts aan te maken met alle rechten.

Microsoft heeft om de verspreiding te voorkomen alle beveiligingsbedrijven ingelicht hoe ze Duqu kunnen detecteren, zodat de antivirusprogramma’s snel kunnen waarschuwen tegen het Duqu-virus.

Microsoft heeft nog geen echte patch klaar tegen dit gevaarlijke lek. Ook in de maandelijkse patch-ronde volgende week dinsdag zal die er nog niet zijn. Voor wie dat wil, heeft Microsoft wel een noodoplossing; een tooltje dat via Fix it kan worden uitgevoerd en ook weer ongedaan gemaakt kan worden.

Volgens beveiliger Symantec was het Word-document waarin het installatiebestand voor Duqu zat, speciaal gemaakt tegen één specifieke organisatie. Het werd ook maar gebruikt in een periode van acht dagen in augustus. Onbekend is in hoeverre het virus ondertussen is verspreid. Wel is het ontdekt bij zes bedrijven in acht landen waaronder Nederland. Het risico dat je er als argeloze Windows-gebruiker last van krijgt wordt door de deskundigen van Micorosft op dit moment niet erg hoog ingeschat, maar dat kan natuurlijk snel veranderen.