AtomBombing το Zero-Day exploit που δεν μπορεί να κλείσει η Microsoft

AtomBombing Zero-Day exploit: Ερευνητές ασφαλείας της Ensilo ανακάλυψαν ένα νέο zero-day exploit στα Windows που οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν για inject και εκτέλεση κακόβουλου κώδικα.

Οι έρευνες ονόμασαν το exploit AtomBombing από τη λειτουργία των Windows που εκμεταλλεύεται και ονομάζεται Atom Tables.

Αυτό που είναι ιδιαίτερα ενδιαφέρον σε αυτό το zero-day exploit είναι ότι δεν χρησιμοποιεί τρωτά στην ασφάλεια των Windows, αλλά σε μητρικές λειτουργίες των Windows.AtomBombing Zero-Day exploit

Αυτό σημαίνει, σύμφωνα με τους ερευνητές, ότι η Microsoft δεν θα είναι σε θέση να επιδιορθώσει το .

“Δυστυχώς, το θέμα αυτό δεν μπορεί να επιδιορθωθεί, δεδομένου ότι δεν στηρίζεται σε κάποιο χαλασμένο ή ελαττωματικό κώδικα, αλλά στο πως έχουν σχεδιαστεί να λειτουργούν οι μηχανισμοί του συστήματος.

Είναι ιδιαίτερα ανησυχητικό το γεγονός ότι το ζήτημα επηρεάζει όλες τις εκδόσεις των Windows, και ότι τα προγράμματα ασφαλείας που λειτουργούν με το σύστημα – firewall ή antivirus για παράδειγμα – δεν θα μπορούν να σταματήσουν την εκτέλεση του exploit.

Πως λειτουργεί η τεχνική:

Κάθε κακόβουλος κώδικας, φυσικά θα πρέπει πρώτα να εκτελεσθεί για να προσβάλει ένα σύστημα.
Αυτός ο κώδικας μπλοκάρεται συνήθως από το λογισμικό προστασίας για ιούς ή κάποιες πολιτικές ασφάλειας του λειτουργικού.
Στην περίπτωση του AtomBombing, το κακόβουλο πρόγραμμα γράφει τον κακόβουλο κώδικα σε έναν Atom table (το οποίο είναι μια νόμιμη λειτουργία των Windows και δεν μπορεί να την σταματήσει κάποια πολιτική ασφαλείας ή κάποιο antivirus).
Στη συνέχεια, χρησιμοποιεί νόμιμες διαδικασίες μέσω του APC (Async Procedure Calls), ένα πρόγραμμα περιήγησης στο web για παράδειγμα, για να ανακτήσει κωδικούς από τον πίνακα χωρίς να το εντοπίσει κάποιο λογισμικό ασφαλείας.

“Αυτό που διαπιστώσαμε είναι ότι ένας κακόβουλος χρήστης μπορεί να γράψει κακόβουλου κώδικα σε ένα Atom table και να αναγκάσει ένα νόμιμο πρόγραμμα να πάρει τον κακόβουλο κώδικα από αυτό το table. Βρήκαμε επίσης ότι το νόμιμο πρόγραμμα, που περιέχει τον κακόβουλο κώδικα, μπορεί να διαχειριστεί για να εκτελέσει το κώδικα.”

Οι ερευνητές έχουν κυκλοφορήσει ένα PoC που επεξηγεί τον τρόπο του AtomBombing. Αν σας ενδιαφέρουν οι λεπτομέρειες, μπορείτε να το ελέγξετε, καθώς μπορεί να απαντήσει σε όλες σας τις ερωτήσεις.

Η ομάδας ασφαλείας της Ensilo, αναφέρει ότι η εκτέλεση κακόβουλου κώδικα σε υπολογιστή με Windows ήταν ένας από τους πάρα πολλούς τρόπους που μπορούν οι επιτιθέμενοι να χρησιμοποιήσουν το AtomBombing.

Οι επιτιθέμενοι θα μπορούσαν να χρησιμοποιήσουν την τεχνική για να πάρουν screenshots, να εξάγουν ευαίσθητες πληροφορίες, ακόμα και κρυπτογραφημένους κωδικούς πρόσβασης.

Συμφωνία με την έρευνα, το Google Chrome κρυπτογραφεί αποθηκευμένους κωδικούς πρόσβασης χρησιμοποιώντας το API του Windows Data . Έτσι οποιαδήποτε σε μια διαδικασία που εκτελείται στο πλαίσιο του ενεργού χρήστη θα μπορούσε να αποκτήσει πρόσβαση στα ευαίσθητα δεδομένα σε μορφή απλού κειμένου.

Η Ensilio πιστεύει ότι η Microsoft δεν μπορεί να επιδιορθώσει το AtomBombing exploit. Η Microsoft από την άλλη δεν έχει εκδώσει κάποια ανακοίνωση.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).