Ensilo i ricercatori di sicurezza hanno scoperto un nuovo zero-day exploit di Windows che gli hacker possono utilizzare per inserire ed eseguire codice dannoso.
Le ricerche chiamare l’exploit AtomBombing a causa del suo uso di una funzione di Windows chiamato Atomo di Tabelle.
Ciò che è particolarmente interessante l’exploit è che non si basa sulla vulnerabilità di sicurezza in componenti di Windows, ma nativo di Windows funzioni.
Questo significa, secondo i ricercatori, che Microsoft non sarà in grado di patch il problema.
Purtroppo, questo problema non può essere corretto in quanto non si basano su rotte o difettose codice piuttosto come questo sistema operativo meccanismi sono progettati.
È particolarmente preoccupante che il problema interessa tutte le versioni di Windows, e che i programmi di sicurezza in esecuzione sul sistema — firewall o antivirus, per esempio-non interrompere l’esecuzione dell’exploit.
via Breaking Malware
La tecnica funziona nel seguente modo su un piano astratto:
- Codice dannoso, deve essere eseguito su una macchina Windows. Un utente potrebbe eseguire codice dannoso, per esempio.
- Questo codice viene bloccato di solito dal software antivirus o altri software di protezione o politiche.
- In caso di AtomBombing, il programma maligno scrive il codice dannoso in una tabella atom (che è una funzione legittima di Windows e non essere arrestato, pertanto,).
- Quindi utilizza processi legittimi via APC (Async Chiamate di Procedura) , un browser web, per esempio, per recuperare il codice dalla tabella rilevati dal software di sicurezza per l’esecuzione.
Che cosa abbiamo trovato è che una minaccia attore in grado di scrivere codice dannoso in un atomo tabella e la forza di un programma legittimo per recuperare il codice malevolo da tavolo. Abbiamo anche scoperto che il programma legittimo, che ora contiene il codice dannoso, può essere manipolato per eseguire tale codice.
I ricercatori hanno rilasciato un — molto tecnico — spiegazione di come AtomBombing opere. Se siete interessati ai dettagli, ti consiglio di controllare come si può rispondere a tutte le domande che si possono avere.
ZDnet avuto la possibilità di parlare a Tal Liberman, sicurezza, ricerca team leader presso Ensilo, che ha detto che l’esecuzione di codice malevolo su una macchina Windows, ma uno dei tanti modi in cui i malintenzionati potrebbero utilizzare AtomBombing.
Attaccanti potrebbero utilizzare la tecnica di prendere screenshot, estrarre informazioni sensibili e anche le password cifrate.
Accordo di ricerca, Google Chrome crittografa le password memorizzate usando la Protezione dei Dati di Windows API. Qualsiasi attacco che viene iniettato in un processo che viene eseguito nel contesto dell’utente attivo potrebbe ottenere l’accesso ai dati in formato testo normale.
Ensilio ritiene che Microsoft non patch il AtomBombing sfruttare. Microsoft deve ancora rispondere alla rivelazione.
Ora: Cosa mi AtomBombing?