AtomBombing: эксплойт нулевого дня в Windows

Исследователи безопасности Ensilo обнаружили новый эксплойт нулевого дня в Windows, который злоумышленники могут использовать для внедрения и выполнения вредоносного кода.

Исследователи называют эксплойт AtomBombing из-за использования в нем функции Windows под названием Atom Tables.

Что особенно интересно в эксплойте, так это то, что он основан не на уязвимостях безопасности в компонентах Windows, а на собственных функциях Windows.

По мнению исследователей, это означает, что Microsoft не сможет исправить проблему.

К сожалению, эту проблему нельзя исправить, поскольку она зависит не от сломанного или некорректного кода, а от того, как устроены эти механизмы операционной системы.

Особенно беспокоит то, что проблема затрагивает все версии Windows, и что программы безопасности, работающие в системе, например брандмауэр или антивирус, не останавливают выполнение эксплойта.

атомный хромчерез Взлом вредоносного ПО

На абстрактном уровне техника работает следующим образом:

  1. Вредоносный код необходимо запустить на компьютере с Windows. Например, пользователь может запустить вредоносный код.
  2. Этот код обычно блокируется антивирусным программным обеспечением или другим программным обеспечением или политиками безопасности.
  3. В случае AtomBombing вредоносная программа записывает вредоносный код в таблицу атомов (что является законной функцией Windows и поэтому не будет остановлено).
  4. Затем он использует законные процессы через APC (Async Procedure Calls), например, веб-браузер, чтобы извлечь код из таблицы, не обнаруженный программным обеспечением безопасности, чтобы выполнить его.

Мы обнаружили, что злоумышленник может записать вредоносный код в таблицу атомов и заставить легитимную программу извлечь вредоносный код из таблицы. Мы также обнаружили, что законной программой, теперь содержащей вредоносный код, можно манипулировать для выполнения этого кода.

Исследователи выпустили — очень техническое — объяснение как работает атомная бомба. Если вас интересуют подробности, я предлагаю вам проверить его, поскольку он может ответить на все вопросы, которые могут у вас возникнуть.

ZDnet имел шанс поговорить с Талом Либерманом, руководителем группы исследований в области безопасности в Ensilo, который упомянул, что выполнение вредоносного кода на машине с Windows было лишь одним из многих способов использования атакующими атомными бомбами.

Злоумышленники могут использовать эту технику для создания снимков экрана, извлечения конфиденциальной информации и даже зашифрованных паролей.

Согласно исследованию, Google Chrome шифрует сохраненные пароли с помощью Windows Data Protection API. Любая атака, внедренная в процесс, который выполняется в контексте активного пользователя, может получить доступ к данным в виде обычного текста.

Энсилио считает, что Microsoft не может исправить эксплойт AtomBombing. Microsoft еще не ответила на это разоблачение.

Теперь ваша очередь : Что вы думаете об атомной бомбардировке?