Ensilo sikkerhed forskere har opdaget en ny zero-day exploit i Windows, som angribere kan gøre brug af til at injicere og afvikle ondsindet kode.
Forsker kalder udnytte AtomBombing på grund af dets brug af en Windows-funktion, kaldet Atom Tabeller.
Hvad er særligt interessant ved den udnyttelse, er, at det ikke er afhængige af sikkerhedsrisici i Windows-komponenter, men de oprindelige Windows-funktioner.
Dette betyder, ifølge forskerne, at Microsoft vil ikke være i stand til at lappe på problemet.
Desværre, er dette spørgsmål ikke kan repareres, da den ikke stole på beskadiget eller fejlbehæftet kode – men snarere på, hvordan disse operativsystem mekanismer, er designet.
Det er især bekymrende, at problemet påvirker alle versioner af Windows, og at sikkerhed programmer, der kører på systemet — i dette firewall eller antivirus-for eksempel-vil ikke stoppe udførelsen af udnyttelse.
via Bryde Malware
Teknikken fungerer på følgende måde på et abstrakt niveau:
- Skadelig kode, der skal køres på en Windows-maskine. En bruger kan køre skadelig kode, for eksempel.
- Denne kode er blokeret normalt af antivirus software eller andre sikkerheds-software eller-politikker.
- I tilfælde af AtomBombing, det ondsindede program skriver den ondsindede kode i et atom tabel (som er en legitim funktion i Windows, og den vil ikke blive standset, derfor).
- Derefter bruger legitime processer via APC (Async Procedure Calls) , en web-browser, for eksempel, til at hente koden fra bordet uden at blive opdaget af sikkerheds-software til at udføre det.
Vi har fundet ud af, at en trussel skuespiller kan skrive skadelig kode i et atom bordet og kraft et legitimt program til at hente ondsindet kode fra bordet. Vi fandt også, at det legitimt program, som nu indeholder skadelig kode, der kan manipuleres til at udføre denne kode.
Forskerne har udgivet en — meget teknisk — forklaring på, hvordan AtomBombing værker. Hvis du er interesseret i detaljer, vil jeg foreslå dig at tjekke det ud, som det kan besvare alle de spørgsmål, du måtte have.
ZDnet havde en chance for at tale til Tal Liberman, security research team leder på Ensilo, som nævnt, at udføre skadelig kode på en Windows-maskine var, men en af de mange måder angribere kan bruge AtomBombing.
Fjernangribere kan bruge den teknik at tage screenshots, uddrag følsomme oplysninger, og selv de krypterede adgangskoder.
Accord til forskning, Google Chrome krypterer adgangskoder, der er gemt ved hjælp af Windows Beskyttelse af Data API. Ethvert angreb, som er sprøjtet ind i en proces, der kører i forbindelse med den aktive bruger kan få adgang til data som almindelig tekst.
Ensilio mener, at Microsoft ikke kan lappe AtomBombing udnytte. Microsoft har endnu til at reagere på den åbenbaring.
Nu kan Du: Hvad er dit take på AtomBombing?