Ensilo Sicherheit-Forscher haben entdeckt, eine neue zero-day-exploit in Windows, die Angreifer nutzen können, um zu injizieren und ausführen von bösartigem code.
Die Forscher nennen das ausnutzen AtomBombing, da eine Windows-Funktion namens Atom Tabellen.
Was ist besonders interessant, über die exploit ist, dass es nicht verlassen sich auf Sicherheitslücken in Windows-Komponenten, sondern native Windows-Funktionen.
Dies bedeutet laut den Forschern, dass Microsoft nicht in der Lage sein, um patch das Problem.
Leider, dieses Problem kann nicht gepatcht werden, da es sich nicht auf defekte oder fehlerhafte code – vielmehr, wie diese Betriebssystem-Mechanismen entworfen werden.
Es ist besonders bedenklich, dass sich das Problem betrifft alle Versionen von Windows, und dass security-Programme, die auf dem system-firewall oder ein antivirus-zum Beispiel-wird nicht aufhören, die Ausführung des Exploits.
über Breaking Malware
Die Technik funktioniert in der folgenden Weise auf einer abstrakten Ebene:
- Bösartiger code ausgeführt werden muss auf einer Windows-Maschine. Ein Benutzer möglicherweise schädlichen code ausführen zum Beispiel.
- Dieser code gesperrt, in der Regel durch antivirus-software oder andere Sicherheits-software oder-Richtlinien.
- Im Fall von AtomBombing, das bösartige Programm schreibt, das bösartigen code, die in ein atom-Tabelle (das ist eine legitime Funktion von Windows und wird nicht gestoppt werden, deshalb).
- Es verwendet dann legitime Prozesse über APC (Asynchrone Prozeduraufrufe) , einen web-browser zum Beispiel zum abrufen der code aus der Tabelle unerkannt durch Sicherheits-software, um Sie auszuführen.
Was wir fanden, ist, dass eine Bedrohung Schauspieler schreiben können, bösartigen code in ein atom-Tabelle und die Kraft, die ein legitimes Programm zum abrufen der schädliche code aus der Tabelle. Wir fanden auch, dass die legitimen Programm, jetzt mit der böswilligen code, können manipuliert werden, um code ausgeführt.
Die Forscher veröffentlicht haben — sehr — technische Erklärung, wie AtomBombing funktioniert. Wenn Sie an den details interessiert sind, empfehle ich Ihnen, check it out, da es kann alle Fragen beantworten, die Sie haben können.
ZDnet hatte die Gelegenheit zu einem Gespräch zu Tal Liberman, security research team leader bei Ensilo, die erwähnt, dass die Ausführung bösartigen code auf einer Windows-Maschine war aber eine der vielen Möglichkeiten, mit denen Angreifer AtomBombing.
Angreifer verwenden die Technik, screenshots zu machen, extrahieren von sensiblen Daten und auch verschlüsselte Passwörter.
Die übereinstimmung mit der Forschung, Google Chrome verschlüsselt gespeicherte Passwörter mit dem Windows Data Protection API. Jeder Angriff eingespritzt wird, in einem Prozess läuft im Kontext des aktiven Nutzers Zugriff auf die Daten im Klartext.
Ensilio glaubt, dass Microsoft nicht den patch AtomBombing nutzen. Microsoft hat noch zu reagieren, um die Offenbarung.
Jetzt Sie: Was ist Ihr nehmen auf AtomBombing?