Ensilo security forskere har oppdaget en ny zero-day exploit i Windows som angripere kan gjøre bruk av for å injisere og kjøre skadelig kode.
Undersøkelsene ringe utnytte AtomBombing på grunn av sin bruk av en funksjon i Windows som heter Atom Bord.
Hva er spesielt interessant om utnyttelsen er at den ikke stole på sikkerhetsproblemer i Windows-komponenter, men innfødte Windows-funksjoner.
Dette betyr, ifølge forskerne, er at Microsoft ikke vil være i stand til å omdirigere problemet.
Dessverre, dette problemet kan ikke være oppdatert siden det ikke er avhengige av ødelagt eller feil kode – snarere på hvordan disse operativsystem mekanismer som er utformet.
Det er spesielt bekymringsfullt at problemet påvirker alle versjoner av Windows, og at sikkerhets programmer som kjører på systemet-brannmuren eller antivirus-for eksempel — vil ikke stanse gjennomføringen av utnyttelsen.
via Bryte Malware
Teknikken fungerer på følgende måte på et abstrakt nivå:
- Ondsinnet kode som må utføres på en Windows-maskin. En bruker kan kjøre ondsinnet kode, for eksempel.
- Denne koden er blokkert vanligvis av antivirus-programvare eller annen sikkerhetsprogramvare eller retningslinjer.
- I tilfelle av AtomBombing, den ondsinnede programmet skriver skadelig kode i et atom tabell (som er en legitim funksjon i Windows, og vil ikke bli stoppet derfor).
- Den så bruker legitime prosesser via APC (Asynkron Prosedyre Anrop) , en nettleser, for eksempel til å hente koden fra bordet uoppdaget av sikkerhet programvaren for å utføre det.
Det vi fant ut er at en trussel skuespiller kan skrive skadelig kode i et atom bordet og tvinge et legitimt program for å hente den ondsinnede koden fra bordet. Vi fant også at det legitimt program, som nå inneholder skadelig kode, kan manipuleres for å utføre denne koden.
Forskerne har utgitt en — veldig teknisk — forklaring på hvordan AtomBombing fungerer. Hvis du er interessert i detaljer, jeg foreslår at du sjekker det ut som det kan svare på alle spørsmål som du måtte ha.
ZDnet hadde en sjanse til å snakke til Tal Liberman, sikkerhet forskning teamleder ved Ensilo, som nevnt at kjøre skadelig kode på en Windows maskin var, men en av mange måter angripere kan bruke AtomBombing.
Angripere kan bruke teknikken til å ta screenshots, trekke ut sensitiv informasjon og til og med krypterte passord.
Accord til forskning, Google Chrome krypterer passord som er lagret ved hjelp av Windows Data Protection API. Noen angrep som er injisert inn i en prosess som kjører i sammenheng med den aktive brukeren kan få tilgang til data i ren tekst.
Ensilio mener at Microsoft ikke kan patch AtomBombing utnytte. Microsoft har ennå til å svare på åpenbaringen.
Nå er Du: Hva er din ta på AtomBombing?