Ensilo säkerhet forskare har upptäckt en ny zero-day exploit i Windows som angripare kan använda sig av för att injicera och köra skadlig kod.
Forskare kallar utnyttja AtomBombing på grund av dess användning av en Windows-funktion som kallas Atom Tabeller.
Vad som är särskilt intressant om den bedrift är att det inte förlita sig på säkerhetsproblem i Windows-komponenter, men native Windows-funktioner.
Detta innebär, enligt forskarna, att Microsoft inte kan korrigera problemet.
Tyvärr har denna fråga inte kan lagas eftersom den inte förlitar sig på en trasig eller felaktig kod snarare på hur dessa operativsystem mekanismer som är utformade.
Det är särskilt oroande att problemet påverkar alla versioner av Windows, och som säkerhets-program som körs på systemet — brandvägg eller antivirus till exempel-kommer inte att stoppa genomförandet av exploateringen.
via Bryta Malware
Tekniken fungerar på följande sätt på en abstrakt nivå:
- Skadlig kod som behöver utföras på en Windows-maskin. En användare kan köra skadlig kod till exempel.
- Denna kod är spärrad oftast av antivirusprogram eller annan programvara för säkerhet eller politik.
- I fall av AtomBombing, skadligt program som skriver skadlig kod i en atom tabellen (vilket är en legitim funktion i Windows och kommer inte att stoppas därför).
- Den använder sedan legitima processer via APC (Asynkron Procedure calls) , en webbläsare för att exempelvis hämta koden från tabell oupptäckt av säkerhetsprogram för att verkställa det.
Vad vi funnit är att ett hot aktör kan skriva skadlig kod i en atom bord och kraft ett legitimt program för att hämta skadlig kod från bordet. Vi fann också att legitimt program, som nu innehåller den skadliga koden, kan vara manipuleras till att köras som kod.
Forskarna har släppt en-mycket tekniskt — förklaring av hur AtomBombing fungerar. Om du är intresserad av detaljer, jag föreslår att du kolla upp det eftersom det kan svara på alla frågor du kan tänkas ha.
ZDnet har haft en chans att prata med Tal Liberman, säkerhet forskningsledare vid Ensilo, som nämnde att köra skadlig kod på en Windows-maskin var bara ett av många sätt angripare kan använda AtomBombing.
Angripare kan använda teknik för att ta skärmdumpar, extrakt av känslig information och även krypterade lösenord.
Accord till forskning, Google Chrome krypterar sparade lösenord med hjälp av Windows-Skydd av Data API. Alla angrepp som injiceras i en process som körs i samband med den aktiva användaren kan få tillgång till data i klartext.
Ensilio anser att Microsoft inte kan lapp AtomBombing utnyttja. Microsoft har ännu inte svarat på den uppenbarelse.
Nu är Du: Vad är din syn på AtomBombing?