Ensilo chercheurs en sécurité ont découvert un nouvel exploit zero-day dans Windows que les attaquants peuvent utiliser pour injecter et d’exécuter du code malveillant.
Les recherches d’appel de l’exploit AtomBombing en raison de son utilisation d’une fonction de Windows appelé Atome Tables.
Ce qui est particulièrement intéressant à propos de l’exploit, c’est qu’il ne repose pas sur des failles de sécurité dans Windows, mais Windows natif fonctions.
Cela signifie, selon les chercheurs, que Microsoft ne sera pas en mesure de corriger le problème.
Malheureusement, ce problème ne peut pas être corrigé, car il ne repose pas sur cassés ou défectueux code – plutôt sur la façon dont ces système d’exploitation mécanismes sont conçus.
Il est particulièrement inquiétant de constater que le problème affecte toutes les versions de Windows, et que la sécurité des programmes qui s’exécutent sur le système de pare-feu ou antivirus par exemple, de ne pas arrêter l’exécution de l’exploit.
par la Rupture de logiciels Malveillants
La technique fonctionne de la manière suivante sur un niveau d’abstraction:
- Le code malveillant doit être exécuté sur une machine Windows. Un utilisateur peut exécuter du code malveillant, par exemple.
- Ce code est généralement bloqué par un logiciel antivirus ou autre logiciel de sécurité ou politiques.
- Dans le cas de AtomBombing, le programme malveillant écrit le code malveillant dans un atome tableau (qui est une fonction légitime de Windows et n’est pas arrêtée par conséquent).
- Il utilise ensuite des processus légitimes par l’APC (Async Appels de Procédure) , un navigateur web par exemple, pour récupérer le code de la table sans être détecté par les logiciels de sécurité pour l’exécuter.
Ce que nous avons trouvé est qu’une menace acteur peut écrire du code malveillant dans un atome de la table et la force d’un programme légitime pour récupérer le code malveillant à partir de la table. Nous avons également constaté que le programme légitime, maintenant, contenant du code malveillant, peut être manipulé pour exécuter ce code.
Les chercheurs ont publié un — technique — explication de la façon dont AtomBombing œuvres. Si vous êtes intéressé par les détails, je vous suggère de vérifier qu’il peut répondre à toutes les questions que vous pourriez avoir.
ZDnet eu la chance de parler à Tal Liberman, sécurité, responsable d’équipe de recherche à Ensilo, qui a mentionné que l’exécution de code malveillant sur une machine Windows a été l’une des nombreuses façons les pirates pourraient utiliser AtomBombing.
Les pirates pourraient utiliser la technique pour prendre des captures d’écran, d’obtenir des informations sensibles et même les mots de passe cryptés.
L’Accord de la recherche, Google Chrome crypte les mots de passe stockés à l’aide de la Windows API de Protection des Données. Toute attaque qui est injecté dans un processus qui s’exécute dans le contexte de l’actif de l’utilisateur pourrait avoir accès aux données en texte brut.
Ensilio estime que Microsoft ne peut pas corriger le AtomBombing exploiter. Microsoft n’a pas encore répondu à la révélation.
Maintenant, Vous: Quel est votre AtomBombing?