AtomBombing Zero-Day exploit: Ερευνητές ασφαλείας της Ensilo ανακάλυψαν ένα νέο zero-day exploit στα Windows που οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν για inject και εκτέλεση κακόβουλου κώδικα.

Οι έρευνες ονόμασαν το exploit AtomBombing από τη λειτουργία των Windows που εκμεταλλεύεται και ονομάζεται Atom Tables.

Αυτό που είναι ιδιαίτερα ενδιαφέρον σε αυτό το zero-day exploit είναι ότι δεν χρησιμοποιεί τρωτά σημεία στην ασφάλεια των Windows, αλλά σε μητρικές λειτουργίες των Windows.

Αυτό σημαίνει, σύμφωνα με τους ερευνητές, ότι η Microsoft δεν θα είναι σε θέση να επιδιορθώσει το πρόβλημα.

“Δυστυχώς, το θέμα αυτό δεν μπορεί να επιδιορθωθεί, δεδομένου ότι δεν στηρίζεται σε κάποιο χαλασμένο ή ελαττωματικό κώδικα, αλλά στο πως έχουν σχεδιαστεί να λειτουργούν οι μηχανισμοί του συστήματος.

Είναι ιδιαίτερα ανησυχητικό το γεγονός ότι το ζήτημα επηρεάζει όλες τις εκδόσεις των Windows, και ότι τα προγράμματα ασφαλείας που λειτουργούν με το σύστημα – firewall ή antivirus για παράδειγμα – δεν θα μπορούν να σταματήσουν την εκτέλεση του exploit.

Πως λειτουργεί η τεχνική:

Κάθε κακόβουλος κώδικας, φυσικά θα πρέπει πρώτα να εκτελεσθεί για να προσβάλει ένα σύστημα.
Αυτός ο κώδικας μπλοκάρεται συνήθως από το λογισμικό προστασίας για ιούς ή κάποιες πολιτικές ασφάλειας του λειτουργικού.
Στην περίπτωση του AtomBombing, το κακόβουλο πρόγραμμα γράφει τον κακόβουλο κώδικα σε έναν Atom table (το οποίο είναι μια νόμιμη λειτουργία των Windows και δεν μπορεί να την σταματήσει κάποια πολιτική ασφαλείας ή κάποιο antivirus).
Στη συνέχεια, χρησιμοποιεί νόμιμες διαδικασίες μέσω του APC (Async Procedure Calls), ένα πρόγραμμα περιήγησης στο web για παράδειγμα, για να ανακτήσει κωδικούς από τον πίνακα χωρίς να το εντοπίσει κάποιο λογισμικό ασφαλείας.

“Αυτό που διαπιστώσαμε είναι ότι ένας κακόβουλος χρήστης μπορεί να γράψει κακόβουλου κώδικα σε ένα Atom table και να αναγκάσει ένα νόμιμο πρόγραμμα να πάρει τον κακόβουλο κώδικα από αυτό το table. Βρήκαμε επίσης ότι το νόμιμο πρόγραμμα, που περιέχει τον κακόβουλο κώδικα, μπορεί να διαχειριστεί για να εκτελέσει το κώδικα.”

Οι ερευνητές έχουν κυκλοφορήσει ένα PoC που επεξηγεί τον τρόπο λειτουργίας του AtomBombing. Αν σας ενδιαφέρουν οι λεπτομέρειες, μπορείτε να το ελέγξετε, καθώς μπορεί να απαντήσει σε όλες σας τις ερωτήσεις.

Η ομάδας ασφαλείας της Ensilo, αναφέρει ότι η εκτέλεση κακόβουλου κώδικα σε υπολογιστή με Windows ήταν ένας από τους πάρα πολλούς τρόπους που μπορούν οι επιτιθέμενοι να χρησιμοποιήσουν το AtomBombing.

Οι επιτιθέμενοι θα μπορούσαν να χρησιμοποιήσουν την τεχνική για να πάρουν screenshots, να εξάγουν ευαίσθητες πληροφορίες, ακόμα και κρυπτογραφημένους κωδικούς πρόσβασης.

Συμφωνία με την έρευνα, το Google Chrome κρυπτογραφεί αποθηκευμένους κωδικούς πρόσβασης χρησιμοποιώντας το API του Windows Data Protection. Έτσι οποιαδήποτε επίθεση σε μια διαδικασία που εκτελείται στο πλαίσιο του ενεργού χρήστη θα μπορούσε να αποκτήσει πρόσβαση στα ευαίσθητα δεδομένα σε μορφή απλού κειμένου.

Η Ensilio πιστεύει ότι η Microsoft δεν μπορεί να επιδιορθώσει το AtomBombing exploit. Η Microsoft από την άλλη δεν έχει εκδώσει κάποια ανακοίνωση.