Ensilo beveiligingsonderzoekers hebben ontdekt dat er een nieuwe zero-day exploit in Windows aanvallers kunnen gebruik maken van injecteren en het uitvoeren van kwaadaardige code.
De onderzoeken noemen het exploiteren AtomBombing als gevolg van het gebruik van een Windows-functie genoemd Atom Tabellen.
Wat vooral interessant is aan het uitbuiten is dat het niet afhankelijk is van beveiligingsproblemen in Windows-onderdelen, maar systeemeigen Windows-functies.
Dit betekent, volgens de onderzoekers, dat Microsoft niet in staat zijn om de patch het probleem.
Helaas, dit probleem kan niet gerepareerd worden, omdat het niet afhankelijk is van de gebroken of gebrekkig code – in plaats van op hoe deze besturingssysteem mechanismen zijn ontworpen.
Het is bijzonder verontrustend dat het probleem is van invloed op alle versies van Windows, en dat de beveiliging programma ‘ s die op het systeem uitvoeren — firewall of antivirus bijvoorbeeld — ik zal niet stoppen met het uitvoeren van de exploit.
via het Breken van Malware
De techniek werkt op de volgende manier op een abstract niveau:
- Kwaadaardige code die moet worden uitgevoerd op een Windows machine. Een gebruiker kan een kwaadaardige code uitvoeren bijvoorbeeld.
- Deze code is geblokkeerd, meestal door antivirus software of andere beveiligingssoftware of-beleid.
- In het geval van AtomBombing, het schadelijke programma schrijft de kwaadaardige code in een atoom tabel (dat is een legitieme functie van Windows en zal niet worden gestopt dus).
- Vervolgens wordt een legitieme processen via APC (Async Procedure Calls) , een webbrowser, bijvoorbeeld voor het ophalen van de code van de tabel niet door security-software uit te voeren.
Wat we hebben gevonden is dat een bedreiging acteur kan schrijven kwaadaardige code in een atoom tafel en kracht van een legitiem programma voor het ophalen van de kwaadaardige code uit de onderstaande tabel. We vonden ook dat het een legitiem programma, nu met de kwaadaardige code kan worden gemanipuleerd om die uit te voeren code.
De onderzoekers hebben uitgebracht — zeer technische — uitleg van hoe AtomBombing werkt. Als u geïnteresseerd bent in de details, ik stel voor dat u check it out als het kan het antwoord op alle vragen die u kan hebben.
ZDnet had een kans om te praten met Tal Liberman, security research team leader bij Ensilo, die vermeld dat het uitvoeren van kwaadaardige code op een Windows machine was maar één van de vele manieren aanvallers konden gebruiken AtomBombing.
Aanvallers kunnen gebruik maken van de techniek om screenshots te nemen, gevoelige informatie en zelfs gecodeerde wachtwoorden.
Accord aan het onderzoek, Google Chrome versleutelt opgeslagen wachtwoorden met behulp van de Windows Data Protection API. Een aanval die wordt ingespoten in een proces dat wordt uitgevoerd in het kader van de actieve gebruiker kan toegang krijgen tot de gegevens in de platte tekst.
Ensilio is van mening dat Microsoft niet de patch AtomBombing exploiteren. Microsoft heeft nog niet reageren op de openbaring.
Nu U: Wat is uw mening over AtomBombing?