Твой софтовый форум > Интернет > Безопасность в сети

Атака AtomBombing позволяет осуществить инъекцию кода

,

и опасна для всех версий Windows

Дата публикации: 01.11.2016 - 11:57
KLUCHICK
Атака AtomBombing позволяет осуществить инъекцию кода и опасна для всех версий Windows


Исследователи из компании enSilo разработали новую технику внедрения кода в легитимные процессы, которая позволяет малвари обойти практически все современные механизмы защиты. Методика получила название «Атомная бомбардировка» (AtomBombing), так как атака концентрируется вокруг использования таблиц атомов (atom table). По сути, атака не эксплуатирует никаких багов, но полагается на слабые стороны Windows.

Таблицы атомов в Windows используются приложениями для хранения информации об объектах, строках и идентификаторах для доступа к ним. Доступ к таблицам и модификации данных в них есть фактически у любых приложений. Исследователи из enSilo решили воспользоваться данной особенностью работы ОС для построения новой техники атак и преуспели. По сути, AtomBombing эксплуатирует особенности самой Windows, так как операционная система позволяет модифицировать таблицы атомов и внедрять в них какой-либо код (в том числе вредоносный), который в итоге будет выполнен легитимным приложением. Внедрившись в легитимный процесс, малварь может легко остаться незамеченной для защитных механизмов.

«Многие средства обеспечения безопасности имеют белый список для доверенных процессов. Если атакующий сможет внедрить вредоносный код в один из этих процессов, он с легкостью обойдет защитные механизмы», — пишут исследователи.
Помимо возможности внедрения в процессы, инъекция кода с помощью AtomBombing также позволяет атакующему реализовать браузерную man-in-the-middle атаку, удаленно делать снимки экрана и получить доступ к зашифрованным паролям, хранящимся в браузере. Так как Google Chrome шифрует и хранит пароли с помощью Windows Data Protection API (DPAPI), малварь внедрившая в процесс текущего пользователя способна «увидеть» пароли и виде простого текста, так как API использует для шифрования и расшифровки данные текущего юзера.

Кроме того, внедрив код в браузер, атакующие смогут подменять контент, который видит пользователь. К примеру, при осуществлении банковского перевода злоумышленники могут подменить адрес платежа или сумму перевода, о чем жертва даже не догадается.

Исследователи enSilo пишут, что с патчем для AtomBombing могут возникнуть серьезные проблемы. Здесь нет уязвимости, которую можно исправить, для устранения бреши разработчикам Microsoft придется пересматривать базовые механизмы работы самой ОС, что практически не реализуемо. unsure.gif

Утащил новость с xaker.ru


Делайте правильные выводы! И правильный выборwink.gif
AquaTour
а еще много лет существует механизм хуков, который позволяет внедрить свои обработчики в вызовы API, или можно подменить dll, новость близка к "пуку в лужу", наподобие "все линукс дистрибутивы беззащитны перед подменой libc"
Делайте выбор в пользу системы, есть такая опасная возможность, как rm -rf. Ах, ну да, там же для защиты от штатной возможности системы налепили костылей...
HugoBo-SS
Инъекция кода - хук. Без хуков жизнь - не жизнь, а жалкое подобие левой руки wink.gif

Главная уязвимость операционной системы ( любой) - её безграмотный или неграмотный администратор и ( или) пользователь. biggrin.gif


Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке: Атака AtomBombing позволяет осуществить инъекцию кода
SoftoRooM © 2004-2024